Anbindung von Debian Squeeze an UCS-2.4

UCS - Univention Corporate Server
#1

Guten Tag,

ich habe entsprechend dem SDB-Artikel 1095 versucht, ein Debian Squeeze an UCS-2.4 anzubinden. Ein “getent passwd” und auch ein “ldapsearch -h -x uid=” funktionieren - allerdings funktioniert die Verschlüsselung nicht ;-(. Wie in dem Artikel angegeben, sind die drei Dateien

/etc/ldap/ldap.con /etc/pam_ldap.conf /etc/libnss-ldap.conf

identisch mit folgendem Inhalt gefüllt:

root@debian6:/etc/ldap# cat ldap.conf host <FQDN von Domainmaster> base o=<einrichtung>,c=de ldap_version 3 pam_password md5 TLS_CACERT /etc/ssl/CAcert.pem

Das Zertifikat ist vom Domainmaster kopiert worden, gehört root:root und hat die Rechte 644.

Hat jemand eine Idee?

Vielen Dank und viele Grüße
Stephan Hendl

#2

Nach einer Änderung funktioniert es erst einmal:

TLS_REQCERT allow

wurde an jede Datei hinten angefügt. Allerdings wird dann das Zertifikat nicht mehr geprüft - der Datenverkehr jedoch wenigstens verschlüsselt.

Die Fehlermeldung im Debugmodus des ldapsearch sagte aus, dass dem Zertifikat entweder nicht vertraut wird oder es aber ungültig ist.

#3

Hallo,

es könnte daran liegen, dass für die Generierung der Zertifikate noch die MD5 Funktion verwendet wurde. Ab Debian Lenny sollte die SHA-1 Funktion verwendet werden. Informationen zum Wechsel auf SHA-1 sind in dem SDB Artikel Umstellung von SSL-Zertifikaten mit MD5 als Hashfunktion zu finden.

Mit freundlichen Grüssen
Tobias Scherer

#4

Hallo Herr Scherer,

danke für den Hinweis. Das UCS-Root-Zertifikat wurde seinerzeit (Anfang 2009) schon mit sha1 erstellt:

Certificate: Data: Version: 3 (0x2) Serial Number: 82:a6:9a:fe:9e:59:12:07 Signature Algorithm: sha1WithRSAEncryption

Nachdem wir am Wochende die komplette Zertifikatsinfrastruktur erneuert haben, habe ich heute das neue Zertifikat kopiert und die “TLS_REQCERT allow”-Zeile auskommentiert. Alles funktioniert :slight_smile:

Eine schöne Woche!
Stephan Hendl

Mastodon