Net::LDAPS und Active Directory Server Problem
Gordon Grubert
wenn ich versuche, mich mittels NET::LDAPS mit einem
Active Directory Server zu verbinden, erhalte ich die
Fehlermeldung
IO::Socket::SSL: SSL connect attempt failed because of handshake
problemserror:00000000:lib(0):func(0):reason(0)
Der Verbindungsaufbau wird gemaess
my $ldap = Net::LDAPS->new('servername',version=>3) or die "$@";
versucht. Lasse ich die Verschluesselung weg, klappt alles.
Versionen:
Net::LDAPS 0.05
IO::Socket::SSL 1.27
Hat jemand eine Idee, woran es liegen koennte?
Schoene Gruesse
Gordon
Helmut Schneider
> wenn ich versuche, mich mittels NET::LDAPS mit einem
> Active Directory Server zu verbinden, erhalte ich die
> Fehlermeldung
>
> IO::Socket::SSL: SSL connect attempt failed because of handshake
> problemserror:00000000:lib(0):func(0):reason(0)
>
> Der Verbindungsaufbau wird gemaess
> my $ldap = Net::LDAPS->new('servername',version=>3) or die "$@";
> versucht. Lasse ich die Verschluesselung weg, klappt alles.
>
> Versionen:
> Net::LDAPS 0.05
> IO::Socket::SSL 1.27
Hast Du da was aktuelles? Ich hab p5-perl-ldap-0.39, weiss nicht,
welchem Net::LDAPS das entspricht.
Und ja, hier[tm] tut des Zugriff auf das AD (2003 und 2008)
einwandfrei, hatte aber fr�her mit einer alten Version von
IO::Socket::SSL zu k�mpfen.
Helmut
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Gordon Grubert
>> Versionen:
>> Net::LDAPS 0.05
>> IO::Socket::SSL 1.27
>
> Hast Du da was aktuelles? Ich hab p5-perl-ldap-0.39, weiss nicht,
> welchem Net::LDAPS das entspricht.
> Und ja, hier[tm] tut des Zugriff auf das AD (2003 und 2008)
> einwandfrei, hatte aber fr�her mit einer alten Version von
> IO::Socket::SSL zu k�mpfen.
Ich habe inzwischen mal versucht, ueber verschiedene LDAP-Browser
(gq, ApacheDirectoryStudio) auf den AD zuzugreifen. Hier tritt
das gleiche Problem auf.
Muss man bei einem AD noch etwas bzgl. Zertifikaten beruecksichtigen/
einrichten? Zu meiner Entschuldigung: Ich bin nur Nutzer und nicht
Admin des AD *g*.
Schoene Gruesse
Gordon
Helmut Schneider
> Helmut Schneider wrote:
> >> Versionen:
> >> Net::LDAPS 0.05
> >> IO::Socket::SSL 1.27
> >
> > Hast Du da was aktuelles? Ich hab p5-perl-ldap-0.39, weiss nicht,
> > welchem Net::LDAPS das entspricht.
> NET::LDAP liegt in Version 0.39 vor.
>
> > Und ja, hier[tm] tut des Zugriff auf das AD (2003 und 2008)
> > einwandfrei, hatte aber fr�her mit einer alten Version von
> > IO::Socket::SSL zu k�mpfen.
> Ich habe inzwischen mal versucht, ueber verschiedene LDAP-Browser
> (gq, ApacheDirectoryStudio) auf den AD zuzugreifen. Hier tritt
> das gleiche Problem auf.
>
> Muss man bei einem AD noch etwas bzgl. Zertifikaten beruecksichtigen/
> einrichten?
Der Domaincontroller muss ein X509 Zertifikat installiert haben, ohne
geht es nicht. Wenn bei einem
telnet $DC 636
oder
telnet $DC 3269
schon niemand mit Dir spricht, ist das nicht der Fall (oder ein
Paketfilter ist aktiv, aber ich hoffe, derartige Ding kann man
grunds�tzlich ausschliessen).
http://technet.microsoft.com/en-us/library/cc758301%28WS.10%29.aspx
Ich warne eindringlich, CAs sind kein Spielzeug! Key Recovery Agents
sind *Pflicht*! Ich hab schon etliche Leute f�rchterlich weinen sehen,
weil sie Ihren private Key verloren haben!
http://technet.microsoft.com/en-us/library/cc781351%28WS.10%29.aspx
Gordon Grubert
> Der Domaincontroller muss ein X509 Zertifikat installiert haben, ohne
> geht es nicht. Wenn bei einem
>
> telnet $DC 636
> oder
> telnet $DC 3269
Trying $IP...
Connected to $DC.
Escape character is '^]'.
Connection closed by foreign host.
> Ich warne eindringlich, CAs sind kein Spielzeug!
Ist schon klar. Ich werde mich mal mit dem AD-Admin in
Verbindung setzen, ob fuer den AD ein offizielles
Zertifikat innerhalb der PKI erstellt und installiert
wurde.
Vielen Dank und schoene Gruesse
Gordon
Helmut Schneider
> Helmut Schneider wrote:
> > Der Domaincontroller muss ein X509 Zertifikat installiert haben,
> > ohne geht es nicht. Wenn bei einem
> >
> > telnet $DC 636
> > oder
> > telnet $DC 3269
> Die beiden Ports sind offen. Ein Telnet liefert:
> Trying $IP...
> Connected to $DC.
> Escape character is '^]'.
> Connection closed by foreign host.
openssl zur Hand?!
openssl s_client -connect $DC:636
openssl s_client -connect $DC:3269
Gordon Grubert
>
> openssl zur Hand?!
Na klar *g*.
> openssl s_client -connect $DC:636
CONNECTED(00000003)
5716:error:140790E5:SSL routines:SSL23_WRITE:
ssl handshake failure:s23_lib.c:188:
> openssl s_client -connect $DC:3269
CONNECTED(00000003)
5717:error:140790E5:SSL routines:SSL23_WRITE:
ssl handshake failure:s23_lib.c:188:
Wenn ich das richtig deute, gibt es da echt
ein Problem mit dem Serverzertifikat.
Schoene Gruesse
Gordon
Helmut Schneider
> Helmut Schneider wrote:
> >
> > openssl zur Hand?!
> Na klar g.
>
> > openssl s_client -connect $DC:636
> CONNECTED(00000003)
> 5716:error:140790E5:SSL routines:SSL23_WRITE:
> ssl handshake failure:s23_lib.c:188:
> > openssl s_client -connect $DC:3269
> CONNECTED(00000003)
> 5717:error:140790E5:SSL routines:SSL23_WRITE:
> ssl handshake failure:s23_lib.c:188:
>
> Wenn ich das richtig deute, gibt es da echt
> ein Problem mit dem Serverzertifikat.
Nicht zwingend, aber wahrscheinlich. Ohne Zertifikate-Snap-In wirst Du
das wohl nicht rausfinden. Aber lass mich nicht dumm sterben... ;)
Gordon Grubert
> Gordon Grubert wrote:
>> Wenn ich das richtig deute, gibt es da echt
>> ein Problem mit dem Serverzertifikat.
>
> Nicht zwingend, aber wahrscheinlich. Ohne Zertifikate-Snap-In wirst Du
> das wohl nicht rausfinden. Aber lass mich nicht dumm sterben... ;)
installiert war. Dies wurde nun nachgeholt. Da trat auch schon
das naechste Problem auf: MS geht wohl davon aus, dass man
immer seine eigene CA ist und nicht innerhalb einer PKI agiert.
Mit Hilfe des Tutorials
http://support.microsoft.com/kb/321051/de
konnte ein Zertifikat fuer die vorhandene PKI erstellt und
eingebunden werden und alles funktioniert wie gewuenscht
(das fehlende Gaensefuesschen in der request.inf wird ja
jeder finden ;-) ).
Vielen Dank Helmut fuer deine tolle Hilfe.
Schoene Gruesse
Gordon