Keine Verbundung zum Ldap wg. abgelaufener Lizenz?

hightower · March 16, 2009, 9:19am

Hi,

seit heute könne sich keine User mehr am Slave anmelden. Ein

root@oekologie:~# ldapsearch -x -ZZ -s base -h oekologie.gri-oekonet.de
ldap_start_tls: Connect error (-11)
        additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

meldet Problem mit dem Zertifikat. Der Master wurde wegen eines Defekts vor einigen Monaten abgeschaltet und auch nie weider in Betrieb genommen.

Sylog liefert dies.

Mar 16 10:12:08 oekologie nscd: nss_ldap: could not search LDAP server - Server is unavailable
Mar 16 10:13:45 oekologie last message repeated 21 times
Mar 16 10:13:46 oekologie last message repeated 20 times
Mar 16 10:14:26 oekologie univention-ldap-listener: start_tls: Can't contact LDAP server

Der Master kann nicht zur erstellung eines neuen Zertifkates herangeholt werden, sollte dies das Problem sein.

Was ist zu tun?

MfG

hightower

tiffy · March 16, 2009, 9:30am

Was gibt ldapsearch -x -ZZ -s base -d 1 -h oekologie.gri-oekonet.de aus?

hightower · March 16, 2009, 9:40am

Hi,

dies ist der Auszug

root@oekologie:~# ldapsearch -x -ZZ -s base -d 1 -h oekologie.gri-oekonet.de
ldap_create
ldap_url_parse_ext(ldap://oekologie.gri-oekonet.de)
ldap_extended_operation_s
ldap_extended_operation
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP oekologie.gri-oekonet.de:389
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 192.168.9.87:389
ldap_connect_timeout: fd: 3 tm: -1 async: 0
ldap_ndelay_on: 3
ldap_is_sock_ready: 3
ldap_ndelay_off: 3
ldap_open_defconn: successful
ldap_send_server_request
ber_flush: 31 bytes to sd 3
ldap_result msgid 1
ldap_chkResponseList for msgid=1, all=1
ldap_chkResponseList returns NULL
wait4msg (infinite timeout), msgid 1
wait4msg continue, msgid 1, all 1
** Connections:
* host: oekologie.gri-oekonet.de  port: 389  (default)
  refcnt: 2  status: Connected
  last used: Mon Mar 16 10:38:13 2009

** Outstanding Requests:
 * msgid 1,  origid 1, status InProgress
   outstanding referrals 0, parent count 0
** Response Queue:
   Empty
ldap_chkResponseList for msgid=1, all=1
ldap_chkResponseList returns NULL
ldap_int_select
read1msg: msgid 1, all 1
ber_get_next
ber_get_next: tag 0x30 len 12 contents:
ldap_read: message type extended-result msgid 1, original id 1
ber_scanf fmt ({iaa) ber:
read1msg:  0 new referrals
read1msg:  mark request completed, id = 1
request 1 done
res_errno: 0, res_error: <>, res_matched: <>
ldap_free_request (origid 1, msgid 1)
ldap_free_connection
ldap_free_connection: refcnt 1
ldap_parse_extended_result
ber_scanf fmt ({iaa) ber:
ldap_parse_result
ber_scanf fmt ({iaa) ber:
ber_scanf fmt (}) ber:
ldap_msgfree
TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:SSLv3 read server hello A
TLS certificate verification: depth: 1, err: 10, subject: /C=DE/ST=Deutschland/L=HB/O=Gri-Oekonet/OU=-/CN=Univention Corporate Server Root CA/emailAddress=root@oekonet-bremen.de, issuer: /C=DE/ST=Deutschland/L=HB/O=Gri-Oekonet/OU=-/CN=Univention Corporate Server Root CA/emailAddress=root@oekonet-bremen.de
TLS certificate verification: Error, certificate has expired
TLS trace: SSL3 alert write:fatal:certificate expired
TLS trace: SSL_connect:error in SSLv3 read server certificate B
TLS trace: SSL_connect:error in SSLv3 read server certificate B
TLS: can't connect.
ldap_perror
ldap_start_tls: Connect error (-11)
        additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Gruß, Hightower

Meybohm · March 16, 2009, 10:03am

Hallo,

die Meldung

TLS certificate verification: Error, certificate has expired

deutet darauf hin das die SSL-Zertifikate abgelaufen sind. Da sich das Root-CA nur auf DC-Master und DC-Backup Systemen befindet, ist es auch nicht ohne weiteres möglich die Zertifikate zu erneuern. Evtl. kann ein neues Root-CA wie in der Dokumentation “SSL Infrastruktur unter UCS” (univention.de/doku_admin.html) erzeugt werden. Anschließend müssten dann alle Rechnerzertifikate unter diesem Root-CA neu angelegt werden. Bitte beachten Sie das die Dokumentation die auf einem DC-Master notwendigen Schritte beschreibt. Dieses vorgehen ist auf einem DC-Slave nicht getestet.

Mit freundlichen Grüßen
Janis Meybohm