On 1/30/24 15:11, Paride Desimone wrote:

Buongiorno.
Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è possibile perché mancano dei pacchetti inquanto non c'è un mantainer).
Se faccio un ldapserach su ldaps, ldapi ed ldap dal server tutto ok,
stessa storia da un client (ovviamente non ldapi).
Ora però ho un problema. Se certo di autenticarmi da un client con un
utente in ldap, se lo faccio senza ssl attivo tutto ok, se lo faccio
con ssl attivo, non mi autentica dicendomi. nei logo, di non riuscire
a comunicare con il server ldap. Qualcuno ha idea su dove poter guardare?

Ricordo che in passato avevo avuto un problema similare e il problema
era dovuto al fatto che il certificato del server era autofirmato. Non
ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Buongiorno.
Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è
possibile perché mancano dei pacchetti inquanto non c'è un mantainer).
Se faccio un ldapserach su ldaps, ldapi ed ldap dal server tutto ok,
stessa storia da un client (ovviamente non ldapi).
Ora però ho un problema. Se certo di autenticarmi da un client con un
utente in ldap, se lo faccio senza ssl attivo tutto ok, se lo faccio con
ssl attivo, non mi autentica dicendomi. nei logo, di non riuscire a
comunicare con il server ldap. Qualcuno ha idea su dove poter guardare?

/paride

-- https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 30-01-2024 15:03 Diego Zuccato ha scritto:

Il 30/01/2024 15:49, Piviul ha scritto:

Ricordo che in passato avevo avuto un problema similare e il problema
era dovuto al fatto che il certificato del server era autofirmato. Non
ricordo bene cosa abbia fatto ma credo solo di avere inserito in
/etc/ldap/ldap.conf del client TLS_REQCERT never

In questo caso, una soluzione più sicura sarebbe di aggiungere il certificato autofirmato a quelli accettati da ldap. Con ldaps "raw" non ricordo come si fa, con sssd è solo questione di includere la riga ldap_tls_cacert nella config del dominio.

Provo a guardarci. e vi aggiorno.

Diego

PS: pare che da autistici.org ci siano problemi con DMARC... Ho
ricevuto avviso di bounce per la mail di Paride.

Uhm, manderò una mail all'assistenza.

/paride
-- https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 30-01-2024 14:49 Piviul ha scritto:

Ricordo che in passato avevo avuto un problema similare e il problema
era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never

Si, è questo.
Il problema consisteva nel certificato auto firmato, il quale era
indigesto al client.

/paride
-- https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

Ricordo che in passato avevo avuto un problema similare e il problema
era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never

Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato generato il certificato di slapd.

--
Poor people gonna rise up and get their share
poor people gonna rise up and take what's theirs (T. Chapman)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 2 febbraio 2024 12:21:59 UTC, Marco Gaiarin <gaio@lilliput.linux.it> ha scritto:

Mandi! Piviul
In chel di` si favelave...
Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la >verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato >generato il certificato di slapd.

Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never mi dava problemi.

/paride

--
Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Paride Desimone
In chel di` si favelave...

Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never mi dava problemi.

Come hai copiato la CA?

--
Stanno arrivando da lontano con il futuro nella mano
sotto la pioggia (A. Venditti)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

DQo+IFVobSwgaG8gcmlzb2x0byBpbXBvc3RhbmRvbG8gYSBuZXZlciwgbWEgYW5jaGUgY29waWFu ZG8gbGEgQ0EsIHNlbnphIGlsIG5ldmVyIG1pIGRhdmEgcHJvYmxlbWkuDQoNCkFuY2hlIGEgbWUg w6ggc3VjY2Vzc28gcXVlc3RvIHRpcG8gZGkgcHJvYmxlbWEgdGVtcG8gZmEgZSByaWNvcmRvIGRp IGF2ZXIgZmF0dG8gcXVlc3RvOg0KDQpsYSBtb2RhbGl0w6AgY29ycmV0dGEgY29uIERlYmlhbiBw ZXIgYWdnaXVuZ2VyZSB1bmEgQ0EgYWwgIlRydXN0c3RvcmUiIChjaW/DqCBhbCBmaWxlIGNhLWNl cnRpZmljYXRlcy5jcnQgZGVudHJvIC9ldGMvc3NsL2NlcnRzKSDDqCBsYSBzZWd1ZW50ZToNCg0K RGEgdXRlbnRlIGNvbiBwZXJtZXNzaSBkaSByb290LCBzaSBtZXR0ZSBpbCBmaWxlIGRlbCBjZXJ0 aWZpY2F0byBwdWJibGljbyBkZWxsYSBDQSBuZWxsYSBkaXJlY3RvcnkgL3Vzci9sb2NhbC9zaGFy ZS9jYS1jZXJ0aWZpY2F0ZXMNCklsIGZpbGUgZGV2ZSBlc3NlcmUgaW4gZm9ybWF0byBCQVNFNjQg ZSBjb24gZXN0ZW5zaW9uZSAuY3J0DQoNClBvaSBzaSBsYW5jaWEgaWwgY29tYW5kbw0KdXBkYXRl LWNhLWNlcnRpZmljYXRlcw0KDQppbiBxdWVzdG8gbW9kbyBpbCBjZXJ0aWZpY2F0byBpbiBxdWVz dGlvbmUgdmVycsOgIGFnZ2l1bnRvIGFsIHRydXN0c3RvcmUgY29tcGxldG8uDQoNCkNpYW8NCg==

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 30-01-2024 14:11 Paride Desimone ha scritto:

Buongiorno.
Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è possibile perché mancano dei pacchetti inquanto non c'è un mantainer).

Seguendo i Vs suggerimenti sono riuscito a tirar su il server ed un
client con ubuntu, che mi crea automaticamente la home directory
dell'utente ldap al primo collegamento.
Ora sto provando a configurare un client con opensuse, ma non si riesce
a venire a capo della cosa.
Qualcuno per caso conosce opensuse e sa come poter farem o ha
suggerimenti?

/paride
-- https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Paride Desimone
In chel di` si favelave...

Qualcuno per caso conosce opensuse e sa come poter farem o ha
suggerimenti?

...non conosco OpenSUSE, ma non credo che ci sia molta differenza; al di la
dei diversi modi di configurare le cose le cose da fare sono sempre quelle: installare i moduli LDAP per PAM e NSS (ed eventuali servizia contorno, come nslcd se necessario), configurre PAM, configurare nsswitch.conf.

--
Con Windows sei in vacanza: ti diverti senza pensare a ciò che fai,
ma dopo un po' finisce. In Linux entri nella vita reale:
Devi tirar fuori le palle! (Alain Modolo)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)