info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
autenticazione ldaps
2 views
Skip to first unread message
Paride Desimone
Jan 30, 2024, 9:20:03 AMJan 30
to
Buongiorno.
Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è
possibile perché mancano dei pacchetti inquanto non c'è un mantainer).
Se faccio un ldapserach su ldaps, ldapi ed ldap dal server tutto ok,
stessa storia da un client (ovviamente non ldapi).
Ora però ho un problema. Se certo di autenticarmi da un client con un
utente in ldap, se lo faccio senza ssl attivo tutto ok, se lo faccio con
ssl attivo, non mi autentica dicendomi. nei logo, di non riuscire a
comunicare con il server ldap. Qualcuno ha idea su dove poter guardare?
/paride
--
https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3
Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)
Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è
possibile perché mancano dei pacchetti inquanto non c'è un mantainer).
Se faccio un ldapserach su ldaps, ldapi ed ldap dal server tutto ok,
stessa storia da un client (ovviamente non ldapi).
Ora però ho un problema. Se certo di autenticarmi da un client con un
utente in ldap, se lo faccio senza ssl attivo tutto ok, se lo faccio con
ssl attivo, non mi autentica dicendomi. nei logo, di non riuscire a
comunicare con il server ldap. Qualcuno ha idea su dove poter guardare?
/paride
--
https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3
Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)
Piviul
Jan 30, 2024, 10:00:04 AMJan 30
to
On 1/30/24 15:11, Paride Desimone wrote:
> Buongiorno.
> Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è
> possibile perché mancano dei pacchetti inquanto non c'è un mantainer).
> Se faccio un ldapserach su ldaps, ldapi ed ldap dal server tutto ok,
> stessa storia da un client (ovviamente non ldapi).
> Ora però ho un problema. Se certo di autenticarmi da un client con un
> utente in ldap, se lo faccio senza ssl attivo tutto ok, se lo faccio
> con ssl attivo, non mi autentica dicendomi. nei logo, di non riuscire
> a comunicare con il server ldap. Qualcuno ha idea su dove poter guardare?
Ricordo che in passato avevo avuto un problema similare e il problema
> Buongiorno.
> Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è
> possibile perché mancano dei pacchetti inquanto non c'è un mantainer).
> Se faccio un ldapserach su ldaps, ldapi ed ldap dal server tutto ok,
> stessa storia da un client (ovviamente non ldapi).
> Ora però ho un problema. Se certo di autenticarmi da un client con un
> utente in ldap, se lo faccio senza ssl attivo tutto ok, se lo faccio
> con ssl attivo, non mi autentica dicendomi. nei logo, di non riuscire
> a comunicare con il server ldap. Qualcuno ha idea su dove poter guardare?
era dovuto al fatto che il certificato del server era autofirmato. Non
ricordo bene cosa abbia fatto ma credo solo di avere inserito in
/etc/ldap/ldap.conf del client TLS_REQCERT never
Piviul
Paride Desimone
Jan 30, 2024, 3:20:03 PMJan 30
to
Il 30-01-2024 15:03 Diego Zuccato ha scritto:
> certificato autofirmato a quelli accettati da ldap. Con ldaps "raw" non
> ricordo come si fa, con sssd è solo questione di includere la riga
> ldap_tls_cacert nella config del dominio.
Provo a guardarci. e vi aggiorno.
>
> Diego
>
> PS: pare che da autistici.org ci siano problemi con DMARC... Ho
> ricevuto avviso di bounce per la mail di Paride.
Uhm, manderò una mail all'assistenza.
> Il 30/01/2024 15:49, Piviul ha scritto:
>> Ricordo che in passato avevo avuto un problema similare e il problema
>> era dovuto al fatto che il certificato del server era autofirmato. Non
>> ricordo bene cosa abbia fatto ma credo solo di avere inserito in
>> /etc/ldap/ldap.conf del client TLS_REQCERT never
> In questo caso, una soluzione più sicura sarebbe di aggiungere il
>> Ricordo che in passato avevo avuto un problema similare e il problema
>> era dovuto al fatto che il certificato del server era autofirmato. Non
>> ricordo bene cosa abbia fatto ma credo solo di avere inserito in
>> /etc/ldap/ldap.conf del client TLS_REQCERT never
> certificato autofirmato a quelli accettati da ldap. Con ldaps "raw" non
> ricordo come si fa, con sssd è solo questione di includere la riga
> ldap_tls_cacert nella config del dominio.
Provo a guardarci. e vi aggiorno.
>
> Diego
>
> PS: pare che da autistici.org ci siano problemi con DMARC... Ho
> ricevuto avviso di bounce per la mail di Paride.
Uhm, manderò una mail all'assistenza.
Paride Desimone
Feb 2, 2024, 6:30:04 AMFeb 2
to
Il 30-01-2024 14:49 Piviul ha scritto:
> Ricordo che in passato avevo avuto un problema similare e il problema
> era dovuto al fatto che il certificato del server era autofirmato. Non
> ricordo bene cosa abbia fatto ma credo solo di avere inserito in
> /etc/ldap/ldap.conf del client TLS_REQCERT never
Si, è questo.
> Ricordo che in passato avevo avuto un problema similare e il problema
> era dovuto al fatto che il certificato del server era autofirmato. Non
> ricordo bene cosa abbia fatto ma credo solo di avere inserito in
> /etc/ldap/ldap.conf del client TLS_REQCERT never
Il problema consisteva nel certificato auto firmato, il quale era
indigesto al client.
Marco Gaiarin
Feb 2, 2024, 9:50:05 AMFeb 2
to
Mandi! Piviul
In chel di` si favelave...
> Ricordo che in passato avevo avuto un problema similare e il problema
> era dovuto al fatto che il certificato del server era autofirmato. Non
> ricordo bene cosa abbia fatto ma credo solo di avere inserito in
> /etc/ldap/ldap.conf del client TLS_REQCERT never
Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la
verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato
generato il certificato di slapd.
--
Poor people gonna rise up and get their share
poor people gonna rise up and take what's theirs (T. Chapman)
In chel di` si favelave...
> Ricordo che in passato avevo avuto un problema similare e il problema
> era dovuto al fatto che il certificato del server era autofirmato. Non
> ricordo bene cosa abbia fatto ma credo solo di avere inserito in
> /etc/ldap/ldap.conf del client TLS_REQCERT never
verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato
generato il certificato di slapd.
--
Poor people gonna rise up and get their share
poor people gonna rise up and take what's theirs (T. Chapman)
Paride Desimone
Feb 5, 2024, 2:20:06 AMFeb 5
to
Il 2 febbraio 2024 12:21:59 UTC, Marco Gaiarin <ga...@lilliput.linux.it> ha scritto:
>Mandi! Piviul
> In chel di` si favelave...
>Mandi! Piviul
> In chel di` si favelave...
>Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la
>verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato
>generato il certificato di slapd.
Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never mi dava problemi.
>verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato
>generato il certificato di slapd.
/paride
--
Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità.
Marco Gaiarin
Feb 5, 2024, 9:20:04 AMFeb 5
to
Mandi! Paride Desimone
--
Stanno arrivando da lontano con il futuro nella mano
sotto la pioggia (A. Venditti)
In chel di` si favelave...
> Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never mi dava problemi.
Come hai copiato la CA?
--
Stanno arrivando da lontano con il futuro nella mano
sotto la pioggia (A. Venditti)
MAURIZI Lorenzo
Feb 9, 2024, 7:00:04 AMFeb 9
to
> Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never mi dava problemi.
la modalità corretta con Debian per aggiungere una CA al "Truststore" (cioè al file ca-certificates.crt dentro /etc/ssl/certs) è la seguente:
Da utente con permessi di root, si mette il file del certificato pubblico della CA nella directory /usr/local/share/ca-certificates
Il file deve essere in formato BASE64 e con estensione .crt
Poi si lancia il comando
update-ca-certificates
in questo modo il certificato in questione verrà aggiunto al truststore completo.
Ciao
Paride Desimone
Feb 16, 2024, 11:30:03 AMFeb 16
to
Il 30-01-2024 14:11 Paride Desimone ha scritto:
> Buongiorno.
> Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è
> possibile perché mancano dei pacchetti inquanto non c'è un mantainer).
Seguendo i Vs suggerimenti sono riuscito a tirar su il server ed un
> Buongiorno.
> Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è
> possibile perché mancano dei pacchetti inquanto non c'è un mantainer).
client con ubuntu, che mi crea automaticamente la home directory
dell'utente ldap al primo collegamento.
Ora sto provando a configurare un client con opensuse, ma non si riesce
a venire a capo della cosa.
Qualcuno per caso conosce opensuse e sa come poter farem o ha
suggerimenti?
Marco Gaiarin
Feb 17, 2024, 8:20:03 AMFeb 17
to
Mandi! Paride Desimone
In chel di` si favelave...
In chel di` si favelave...
> Qualcuno per caso conosce opensuse e sa come poter farem o ha
> suggerimenti?
...non conosco OpenSUSE, ma non credo che ci sia molta differenza; al di la
> suggerimenti?
dei diversi modi di configurare le cose le cose da fare sono sempre quelle:
installare i moduli LDAP per PAM e NSS (ed eventuali servizia contorno, come
nslcd se necessario), configurre PAM, configurare nsswitch.conf.
--
Con Windows sei in vacanza: ti diverti senza pensare a ciò che fai,
ma dopo un po' finisce. In Linux entri nella vita reale:
Devi tirar fuori le palle! (Alain Modolo)
0 new messages