Samba4 + ldapsearch

Traceman · Feb 8, 2017

Hallo,

bei meinem Server habe ich ein kleines Problem mit ldapsearch auf die AD-Daten vom einem Samba4-Server zuzugreifen.

1. Verbindung mit ldapadmin und ssl und tls funktioniert.

2. Verbindungstest mit openssl funktioniert:

Code:

# openssl s_client -connect DC1-INET.ptb.intern:636
CONNECTED(00000003)
depth=1 O = Samba Administration, OU = Samba - temporary autogenerated CA certificate, CN = DC1-INET.ptb.intern
verify return:1
depth=0 O = Samba Administration, OU = Samba - temporary autogenerated HOST certificate, CN = DC1-INET.ptb.intern
verify return:1
---
Certificate chain
 0 s:/O=Samba Administration/OU=Samba - temporary autogenerated HOST certificate/CN=DC1-INET.ptb.intern
   i:/O=Samba Administration/OU=Samba - temporary autogenerated CA certificate/CN=DC1-INET.ptb.intern
 1 s:/O=Samba Administration/OU=Samba - temporary autogenerated CA certificate/CN=DC1-INET.ptb.intern
   i:/O=Samba Administration/OU=Samba - temporary autogenerated CA certificate/CN=DC1-INET.ptb.intern
---
Server certificate
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
subject=/O=Samba Administration/OU=Samba - temporary autogenerated HOST certificate/CN=DC1-INET.ptb.intern
issuer=/O=Samba Administration/OU=Samba - temporary autogenerated CA certificate/CN=DC1-INET.ptb.intern
---
Acceptable client certificate CA names
/O=Samba Administration/OU=Samba - temporary autogenerated CA certificate/CN=DC1-INET.ptb.intern
---
SSL handshake has read 3922 bytes and written 495 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: xxx
    Session-ID-ctx:
    Master-Key: xxx
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1486561461
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

3. nun die Verbindung mit ldapsearch geht nicht:

Code:

# ldapsearch -d -1 -D "cn=userx,cn=Users,dc=PTB,dc=intern" -y /.../datei -b "dc=PTB,dc=intern" -h DC1-INET.ptb.intern -ZZ -x "(suche)" sAMAccountName
...
...

TLS: peer cert untrusted or revoked (0x42)
TLS: can't connect: (unknown error code).
ldap_err2string
ldap_start_tls: Connect error (-11)
        additional info: (unknown error code)
ldap_free_connection 1 1
ldap_send_unbind

Das Zertifikat von samba ist in dem System als CA hizugefügt. Es geht um einen Rechner, auf dem läuft samba und das ldapsearch soll auf diesem ausgeführt werden.

Hardy

GwenDragon · Feb 8, 2017

Pfad zu Zertifikat hinzufügen vor Aufruf. Siehe manpage ldap.conf(5) und http://www.openldap.org/lists/openldap-technical/201103/msg00317.html

Code:

env LDAPTLS_CACERT=cert.pem ldapsearch

Traceman · Feb 8, 2017

Hallo GwenDragon,

vielen Dank für die schnelle Hilfe. Es geht

Hardy

Samba4 + ldapsearch

Traceman

New Member

GwenDragon

Registered User

Traceman

New Member

We value your privacy