TLS für LDAPs auf Debian 11 streikt
Hallöchen zusammen, ich mal wieder mit einem Anliegen.
Folgende Umgebung:
Active Directory (2016er Funktionsebene) mit integrierter PKI (einmal Root CA, offline und zweimal Issuing CA).
Domänencontroller spricht nur LDAPs mit seinem Zertifikat (ausgestellt von einer der Issuing CAs und gültig).
Es gibt unter anderem einen Zabbix Server auf Debian 11, auf welchem bis vor kurzem LDAPs noch funktioniert hat. Das Root-CA-Zertifikat liegt dort in /usr/local/share/ca-certificates/ und ist mittelsins System übernommen worden (es liegt in /etc/ssl/certs/ als einzelne Datei und auch in der /etc/ssl/certs/ca-certificates.crt ist es drin).
Wir haben nun den alten Domänencontroller abgelöst und durch einen neuen (logischerweise mit neuem Hostname) ersetzt. Auch ein paar Linux-Updates gab es in der Zwischenzeit. Seither funktioniert die Authentifizierung nicht mehr und schlägt fehl mit dem Fehler "Can't bind to LDAP Server". Den FQDN habe ich natürlich entsprechend in Zabbix geändert. Einergibt ein "Can't contact LDAP server (-1)".
In der /etc/ldap/ldap.conf steht drin, das sollte also eigentlich passen.
Ein ergibt eine einwandfreie Zertifikatskette (Verification: OK), das Zertifikat vom Domaincontroller ist auf den FQDN ausgestellt.
Ich bin grad etwas am verzweifeln, was ich hier übersehe, denn mit der Option und funktioniert es (sowohl mit ldapsearch als auch im Zabbix), ich vermute also die Zertifikatsprüfung basiert hier irgendwie nicht auf der /etc/ssl/cets/ca-certificates.crt.
Hat hier einer eine Idee? Falls noch genauere Infos nötig sind stelle ich diese gerne noch zur Verfügung.
EDIT: Auf anderen Systemen (z.B. der Firewall) funktioniert die Authentifizierung einwandfrei.
Danke schonmal und Viele Grüße!
Ketanest
Folgende Umgebung:
Active Directory (2016er Funktionsebene) mit integrierter PKI (einmal Root CA, offline und zweimal Issuing CA).
Domänencontroller spricht nur LDAPs mit seinem Zertifikat (ausgestellt von einer der Issuing CAs und gültig).
Es gibt unter anderem einen Zabbix Server auf Debian 11, auf welchem bis vor kurzem LDAPs noch funktioniert hat. Das Root-CA-Zertifikat liegt dort in /usr/local/share/ca-certificates/ und ist mittels
update-ca-certificates --fresh
Wir haben nun den alten Domänencontroller abgelöst und durch einen neuen (logischerweise mit neuem Hostname) ersetzt. Auch ein paar Linux-Updates gab es in der Zwischenzeit. Seither funktioniert die Authentifizierung nicht mehr und schlägt fehl mit dem Fehler "Can't bind to LDAP Server". Den FQDN habe ich natürlich entsprechend in Zabbix geändert. Ein
ldapsearch -x -H ldaps://FQDN:636
In der /etc/ldap/ldap.conf steht
TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Ein
openssl s_client -connect FQDN:636
Ich bin grad etwas am verzweifeln, was ich hier übersehe, denn mit der Option
TLS_REQCERT allow
TLS_REQCERT never
Hat hier einer eine Idee? Falls noch genauere Infos nötig sind stelle ich diese gerne noch zur Verfügung.
EDIT: Auf anderen Systemen (z.B. der Firewall) funktioniert die Authentifizierung einwandfrei.
Danke schonmal und Viele Grüße!
Ketanest
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6972800536
Url: https://administrator.de/forum/tls-fuer-ldaps-auf-debian-11-streikt-6972800536.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
21 Kommentare
Neuester Kommentar
Mach das ganze doch mal etwas "Verboser"
Cheers briggs
ldapsearch -d 5 -x -H ldaps://FQDN:636
Setze mal testweise eine Umgebungsvariable und führe anschließend ldapsearch erneut aus.
Und in der
https://linux.die.net/man/5/ldap.conf
env LDAPTLS_CACERT=/path/to/cert
Und in der
ldap.conf
die Konfiguration entsprechend anpassen TLS_CACERT <filename>
Direktivehttps://linux.die.net/man/5/ldap.conf
TLS_CACERT <filename>
Specifies the file that contains certificates for all of the Certificate Authorities the client will recognize.
Hatte meinen Kommentar noch etwas angepasst. Teste die Konfigurationsoption
TLS_CACERT
in der ldap.conf
Zitat von @ketanest112:
Du meintest hier vermutlichoder?
Nein, env geht auch, wenn man auf der gleichen Zeile direkt dahinter den ldapsearch Befehl einkippt.Zitat von @6247018886:
env LDAPTLS_CACERT=/path/to/cert
Du meintest hier vermutlich
export LDAPTLS_CACERT=/path
Wie hast du die Certs in der Datei angeordnet? Die Chain inkl. ROOT aneinhander gehängt, oder nur die Intermediates.
Reihenfolge beachtet? Gibt das Syslog Hinweise? Welche Updates wurden genau gefahren?
Reihenfolge beachtet? Gibt das Syslog Hinweise? Welche Updates wurden genau gefahren?
Platziere das Root und die Intermediates auch in
/etc/openldap/certs
oder /etc/openldap/cacerts
directory, je nach System. Das die Config das explizit angegebene Cert ignoriert ist seltsam da muss IMHO was mit dem Cert nicht stimmen. Mit welchen Parametern wurde das erstellt?
Zumindest eine der angegebenen Stellen sollte für den Client immer erreichbar sein.
Was genau meinst du mit Parametern? Ist ein Auto-Deploy Zertifikat über die Windows-PKI. 2048 bit RSA.
Meinte die Usage und ExtendedUsage Felder etc. OK, dann sollte das wohl passen wenn die Vorlage auch stimmig ist.