[Gelöst] LDAP via SSL will nicht zum fliegen kommen....

[JensHamburg]

Hallo,

ich möchte unsere Integrationsumgebung (6.0.24) von einfachen LDAP auf von LDAPS (also SSL) umstellen. Die Agents authentifizieren und syncen mit einem ActiveDirectory basierend auf Windows Server 2012.

In der Config.pm habe ich bei den Abschnitten für Authentifizierung und Sync jeweils folgendes geändert:
Von

Code: Select all

    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
    };

nach

Code: Select all

    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
        port => 636,
        timeout => 120,
        async => 0,
        version => 3,
        cafile  => '/etc/ssl/certs/server.pem',
    };

Bei der Authentifizierung erhalte ich jedoch folgende Fehlermeldung im Log:

[Wed Dec 11 16:56:20 2019] Config.pm: Subroutine Load redefined at /opt/otrs//Kernel/Config.pm line 24.
ERROR: OTRS-CGI-20 Perl: 5.16.3 OS: linux Time: Wed Dec 11 16:56:20 2019

Message: First bind failed! I/O Error Connection reset by peer

RemoteAddress: 192.168.88.1
RequestURI: /otrs/index.pl

Traceback (9672):
Module: Kernel::System::Auth::LDAP::Auth Line: 192
Module: Kernel::System::Auth::Auth Line: 152
Module: Kernel::System::Web::InterfaceAgent::Run Line: 248
Module: ModPerl::ROOT::ModPerl::Registry::opt_otrs_bin_cgi_2dbin_index_2epl::handler Line: 38
Module: (eval) (v1.99) Line: 207
Module: ModPerl::RegistryCooker::run (v1.99) Line: 207
Module: ModPerl::RegistryCooker::default_handler (v1.99) Line: 173
Module: ModPerl::Registry::handler (v1.99) Line: 32

Mache ich die Änderungen rückgängig, dann funktioniert der Zugriff wieder. An einer fehlerhaften Username/Passwort-Kombination kann es also aus meiner Sicht nicht liegen.

Mit dem Apache LDAP-Studio kann ich mit und ohne SSl mit dem Bind-User auf den LDAP-Server zugreifen.
Stimmt vielleicht mit den SSL-Zertifikat etwas nicht? Das hinterlegte Zertifikat ist das des LDAP-Servers (Windows-AD) und kommt in identischer Form auch beim Browsen des LDAP-Baums mit dem Apache LDAP-Studio zum Einsatz.

Hat jemand eine Idee, woran es liegen könnte, dass LDAPS nicht fliegen will?

Gruß
Jens

[wurzel]

Hi,

haste den host mit ldaps://<hostname>

angegeben?

Flo

[JensHamburg]

Nein - das Protokoll gebe ich ja auch nicht an, wenn ich unverschlüsselt kommuniziere.

Code: Select all

$Self->{'AuthModule::LDAP::Host'} = 'server.test.local';

Aber da mir das Ganze keine Ruhe gelassen hat, habe ich noch ein bisschen weiter gegoogelt und experimentiert und nun funktionierts:

Code: Select all

    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
        scheme  => 'ldaps',
        port => 636,
        timeout => 120,
        async => 0,
        version => 3,
        cafile  => '/etc/ssl/certs/server.pem',
    };

Wahrscheinlich bewirkt der Eintrag "scheme => 'ldaps'," das gleiche, wie Deine Angabe.
Nur schade, dass man am Windows-Server nicht das unverschlüsselte LDAP deaktivieren kann - so richtig kann ich jetzt gar nicht testen, ob's wirklich via SSL läuft (alos ohne einen Sniffer dazischenzuhängen usw...)

Aber egal - ich markiere den Beitrag erstmal als "Gelöst"

Danke für die Hilfe!

Gruß
Jens

[wurzel]

Hi,

na, der port wird schon benutzt, da wett ich. stell ihn auf 637 und du wirs sehen dass es nicht mehr geht.
636 ist ldaps.

passt also würd' ich sagen

Flo