[OpenLDAP]main: TLS init def ctx failed: -34

0

1

Стоило отвлечься, как админ поломал сервер LDAP'а. Теперь он не запускается, выдает:

main: TLS init def ctx failed: -34

Поиск в интернетах по этому сообщению просветления не принёс. Скажите, куда копать, что делать? Где почитать о работе TLS в OpenLDAP'е.

Ссылка

←	ssh - вход с помощью ключей

dovecot: не работает sieve_before

→

Сам сломал — сам чини.

Да, админа сегодня нет и не будет, телефон его не отвечает. Having fun.

Camel ★★★★★
(05.05.11 11:24:14 MSK) автор топика

Ссылка

Продолжаем разговор.

Так, в /etc/ldap/conf.d/cn=config.ldif есть строки:

olcTLSCertificateFile: /etc/ssl/certs/slapd-zimldap.crt
olcTLSCertificateKeyFile: /etc/ssl/private/slapd-zimldap.key

Файлы эти существуют, принадлежат пользователю openldap. В выхлопе slapd -u openldap -g openldap -d 1 есть:

main: TLS init def ctx failed: -64

То есть уже не -34, но -64. Но просветелния, равно работающего slapd всё ещё нет.

Camel ★★★★★
(05.05.11 11:36:31 MSK) автор топика

Ответ на: Продолжаем разговор. от Camel 05.05.11 11:36:31 MSK

Пути и права до сертификатов и ключей.

~~zgen~~ ★★★★★
(05.05.11 11:50:15 MSK)

Ответ на: Продолжаем разговор. от Camel 05.05.11 11:36:31 MSK

Файлы эти существуют

А сертификаты в них валидные?

Deleted
(05.05.11 11:52:32 MSK)

Ответ на: комментарий от Deleted 05.05.11 11:52:32 MSK

То есть они хотя бы читаются тем же openssl'ем?

Deleted
(05.05.11 11:52:51 MSK)

Ответ на: комментарий от zgen 05.05.11 11:50:15 MSK

Пути и права.

Пути и права до сертификатов и ключей.

server # ls -l /etc/ssl/certs/slapd-zimldap.crt 
-rw-r----- 1 openldap root 10240 Apr 28 08:18 /etc/ssl/certs/slapd-zimldap.crt
server # ls -l /etc/ssl/private/slapd-zimldap.key 
-rw-r----- 1 openldap root 912 Apr 28 08:18 /etc/ssl/private/slapd-zimldap.key

Camel ★★★★★
(05.05.11 11:54:01 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 05.05.11 11:52:51 MSK

Читаются?

То есть они хотя бы читаются тем же openssl'ем?

Как узнать?

Camel ★★★★★
(05.05.11 11:54:24 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 05.05.11 11:52:51 MSK

Не читается?

# openssl rsa -in /etc/ssl/private/slapd-zimldap.key -check
RSA key ok

# openssl x509 -in /etc/ssl/certs/slapd-zimldap.crt -text -noout
unable to load certificate
1854:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATE

Это плохо?

Camel ★★★★★
(05.05.11 12:10:05 MSK) автор топика

Ответ на: Не читается? от Camel 05.05.11 12:10:05 MSK

Покажи source slapd-zimldap.crt, в нем все равно секретного ничего нет.

~~zgen~~ ★★★★★
(05.05.11 13:34:36 MSK)

Ответ на: комментарий от zgen 05.05.11 13:34:36 MSK

No such file.

# source /etc/ssl/certs/slapd-zimldap.crt 
-bash: opt/zimbra/conf/slapd.key: No such file or directory

Camel ★★★★★
(05.05.11 13:41:23 MSK) автор топика

Ответ на: No such file. от Camel 05.05.11 13:41:23 MSK

пилят...

Содержимое файла slapd-zimldap.crt выложи. Ключ выкладывать не надо - это небезопасно.

~~zgen~~ ★★★★★
(05.05.11 13:42:11 MSK)

Ответ на: No such file. от Camel 05.05.11 13:41:23 MSK

Есть such file.

В хомяке админа есть файлик /home/akkerman/opt/zimbra/conf/slapd.key. Что мне делать с этим знанием?

Camel ★★★★★
(05.05.11 13:44:10 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 05.05.11 13:42:11 MSK

Содержимое.

# cat slapd-zimldap.crt 
opt/zimbra/conf/slapd.key0000640000175000017500000000162011555755067015253 0ustar  zimbrazimbra-----BEGIN PRIVATE KEY-----

<В этом месте длинная абракадабра из букв, цифр из знаков>
-----END PRIVATE KEY-----

Camel ★★★★★
(05.05.11 13:46:22 MSK) автор топика

Ответ на: Содержимое. от Camel 05.05.11 13:46:22 MSK

У вас в файле сертификата лежит мусор и ключ, а что тогда лежит в
/etc/ssl/private/slapd-zimldap.key?

~~zgen~~ ★★★★★
(05.05.11 14:33:48 MSK)

Ответ на: комментарий от zgen 05.05.11 14:33:48 MSK

Что из чего.

# cat ../private/slapd-zimldap.key 
-----BEGIN PRIVATE KEY-----
<В точности такая же абракадабра>
-----END PRIVATE KEY-----

Скажите, а что из чего генерируется? Ключ из сертификата или сертификат из ключа? Имея ключ я могу создать сертификат? Как?

Camel ★★★★★
(05.05.11 14:53:42 MSK) автор топика

Ответ на: Что из чего. от Camel 05.05.11 14:53:42 MSK

Короче у вас файл crt битый, там должна быть дата вроде этой:

-----BEGIN CERTIFICATE-----
BLAHBLAHBLAH
-----END CERTIFICATE-----

С помощью ключа можно сгенерить запрос на сертификат, который нужно кем-то (ключом CA обычно) подписать. Где у вас ключ CA вы скорее всего тоже не знаете, поэтому самым правильным будет либо

1) выключить поддержку ssl
2) сгенерить новую пару self signed cert+key которую и положить вместо вышеозначенных файлов.

Как генерить ключи, запросы на сертификат и сами сертификаты написано вот тут:

http://www.openssl.org/docs/HOWTO/certificates.txt

Если будут сложности или непонятки - пишите.

~~zgen~~ ★★★★★
(05.05.11 15:01:30 MSK)

Ответ на: комментарий от zgen 05.05.11 15:01:30 MSK

Простой неправильный путь.

Удалил из cn=config.ldif строки касающиеся путей к сертификату и ключу, slapd запустился и даже работает. Разбираться с поломаным OpenLDAP'ом до конца будет админ.

Большое спасибо за помощь.

Camel ★★★★★
(05.05.11 15:19:59 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	ssh - вход с помощью ключей

Admin