Toon posts:

LDAP op Debian ERROR*

Pagina: 1
Acties:

vrijdag 29 april 2016 09:45

Acties:
  • 0 Henk 'm!
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
Hallo,

Ik ben bezig met het installeren van ldap op debian Jessie. Hiervoor volg ik een handleiding van howtoforge (LINK NAAR DE HANDLEIDING). Ik heb alles precies gevolgd hoe het in de handleiding staat maar als ik bij het gedeelte kom waar ik $ ldapsearch -x moet doen krijg ik een foutmelding dat de ldap niet werkt (ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1))

Verder heb ik ook op internet al wat gezocht en het kan zijn dat ik mijn ip in de config niet goed heb staan maar dat heb ik nu ook een paar x veranderd.

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE dc=example,dc=com
URI ldap://127.0.0.1 ldap://127.0.0.1:666

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never

# TLS certificates (needed for GnuTLS)
TLS_CACERT /etc/ssl/certs/ca-certificates.crt


Ik dacht als ik het ip verander naar 127.0.0.1 staat mijn ldap gewoon op localhost.


Verder is het de bedoeling om mijn ldap te laten werken met de GLPI maar dan moet ik wel eerst mijn LDAP werkende krijgen

Hopelijk weten jullie wat ik moet veranderen.

JozuaR

vrijdag 29 april 2016 10:02

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 30-09 22:30

Hero of Time

Moderator LNX

There is only one Legend

Heb je ook al de manpage gelezen van ldapsearch? Je guide stamt uit 2014 en er is ondertussen vast wel iets verandert in dit opzicht. Heb je ook al eens je ldapsearch met -v getest, zodat je meer verbose informatie krijgt over wat er nou uitgevoerd wordt?

Commandline FTW | Tweakt met mate

vrijdag 29 april 2016 10:25

Acties:
  • 0 Henk 'm!
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
Hero of Time schreef op vrijdag 29 april 2016 @ 10:02:
Heb je ook al eens je ldapsearch met -v getest, zodat je meer verbose informatie krijgt over wat er nou uitgevoerd wordt?
Dan krijg ik gewoon de zelfde error dat ik niet kan connecten met de ldap.


Verder aan het begin kreeg ik wel een andere melding met de ldapsearch.

ldapsearch -x
# extended LDIF
#
# LDAPv3
# base <> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 32 No such object

JozuaR

vrijdag 29 april 2016 10:26

Acties:
  • 0 Henk 'm!
  • Thulium
  • Registratie: September 2011
  • Laatst online: 26-04 10:28

Thulium

Ik heb die guide even gelezen en ik verzoek je met klem om deze installatie NIET in een productieomgeving te gebruiken.

Je zet hier namelijk een LDAP server op zonder SSL/STARTTLS encryptie, dat betekent dat eenieder die op jouw netwerk zit met Wireshark of tcpdump je wachtwoord kan sniffen.

Ik heb de volgende notities op mijn wiki staan:

If you only want to use OpenLDAP with SSL (which is a total must-have), do the following:

 apt-get install slapd
* Enable ldaps protocol (file /etc/default/slapd):
 SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:/// ldapi:///"
* Create tls configuration file (tls-ldap.ldif):
 dn: cn=config
 add: olcTLSCACertificateFile
 olcTLSCACertificateFile: /etc/ssl/certs/<ca-cert.pem>
 -
 add: olcTLSCertificateFile
 olcTLSCertificateFile: /etc/ldap/<server-crt.pem>
 -
 add: olcTLSCertificateKeyFile
 olcTLSCertificateKeyFile: /etc/ldap/<server-key.pem>
* Apply the config, make sure that the files exist and are readable for the openldap user: 
 ldapmodify -QY EXTERNAL -H ldapi:/// -f tls-config.ldif
* Restart slapd:
 /etc/init.d/slapd restart


And configure the Directory server with Apache Directory Studio: http://directory.apache.org/studio/


Ik heb nog meer notities voor de andere aspecten van OpenLDAP, maar eerst de server maar eens aan de praat krijgen :-)

EDIT: voor ik het vergeet, draait je server wel goed? Hint, systemctl status slapd -l (L in het klein)

[ Voor 3% gewijzigd door Thulium op 29-04-2016 10:32 ]

vrijdag 29 april 2016 10:36

Acties:
  • 0 Henk 'm!
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
Thulium schreef op vrijdag 29 april 2016 @ 10:26:


* Restart slapd:
 /etc/init.d/slapd restart
Dit heb ik even gedaan en nu krijg ik gewoon weer 

ldapsearch -x

# extended LDIF
#
# LDAPv3
# base <> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 32 No such object



Als ik het goed heb klopt dit gewoon toch? omdat ik nog niks heb insgesteld.

JozuaR

vrijdag 29 april 2016 10:44

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 30-09 08:10

Thralas

In het vervolg dus even controleren of de daemon die je probeert te bereiken uberhaupt draait ;)

vrijdag 29 april 2016 10:45

Acties:
  • 0 Henk 'm!
  • Thulium
  • Registratie: September 2011
  • Laatst online: 26-04 10:28

Thulium

Nee, het resultaat klopt niet, aangezien je tijdens de setup een admin user en een domein hebt aangemaakt. Deze zouden zichtbaar moeten zijn.

Volgens de error heb je nu geen resultaten omdat ze niet bestaan. En dat klopt ook gezien de scope:
# base <> (default) with scope subtree


Dus je Base DN klopt niet, deze staat in /etc/ldap.conf gedefinieerd.

Daarnaast zijn er ook andere tools om de inhoud van je LDAP directory te zien, met slapcat dumpt hij de gehele inhoud van de server op je terminal.

Dat -zou-, als je alles goed ingesteld hebt, enigzins overeen moeten komen met ldapsearch -x

vrijdag 29 april 2016 10:53

Acties:
  • 0 Henk 'm!
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
Thulium schreef op vrijdag 29 april 2016 @ 10:45:


# base <> (default) with scope subtree

# base <dc=example,dc=com> (default) with scope subtree



had in de ldap.conf die regels uitgelined...

verder moet het dus zo kloppen?

JozuaR

vrijdag 29 april 2016 10:59

Acties:
  • 0 Henk 'm!
  • Thulium
  • Registratie: September 2011
  • Laatst online: 26-04 10:28

Thulium

Nee, dat is namelijk in de output van je ldapsearch -x

Meer als in onderstaande:

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE	dc=example,dc=com
URI	ldaps://ldap.example.com

#SIZELIMIT	12
#TIMELIMIT	15
#DEREF		never

# TLS certificates (needed for GnuTLS)
TLS_CACERT	/etc/ssl/certs/<ca.pem>
#SASL_MECH GSSAPI

vrijdag 29 april 2016 11:02

Acties:
  • 0 Henk 'm!
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
Thulium schreef op vrijdag 29 april 2016 @ 10:59:
Nee, dat is namelijk in de output van je ldapsearch -x

Meer als in onderstaande:

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE	dc=example,dc=com
URI	ldaps://ldap.example.com

#SIZELIMIT	12
#TIMELIMIT	15
#DEREF		never

# TLS certificates (needed for GnuTLS)
TLS_CACERT	/etc/ssl/certs/<ca.pem>
#SASL_MECH GSSAPI
Ik denk dat ik dan in het volgende wat verkeerd heb staan (lijkt mij)


#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE    dc=example,dc=com
URI    ldap://ldap.example.com ldap://ldap-master.example.com:666


#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never

# TLS certificates (needed for GnuTLS)
TLS_CACERT      /etc/ssl/certs/ca-certificates.crt


dit is de ldap.conf file

JozuaR

vrijdag 29 april 2016 11:04

Acties:
  • +1 Henk 'm!
  • Demo
  • Registratie: Juni 2000
  • Laatst online: 30-09 11:31

Demo

Probleemschietende Tovenaar

Jozuaurk schreef op vrijdag 29 april 2016 @ 11:02:
[...]


Ik denk dat ik dan in het volgende wat verkeerd heb staan (lijkt mij)


#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE    dc=example,dc=com
URI    ldap://ldap.example.com ldap://ldap-master.example.com:666


#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never

# TLS certificates (needed for GnuTLS)
TLS_CACERT      /etc/ssl/certs/ca-certificates.crt


dit is de ldap.conf file
Zijn je LDAP-servers op die URI's te bereiken? Zomaar iets kopiëren uit een howto zonder te begrijpen wat er staat, gaat niet werken.

Als ik een ldapsearch -x doe, krijg ik:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

root@ldap:~# ldapsearch -H ldapi://%2Fvar%2Frun%2Fslapd%2Fslapd.sock/
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Example
dc: example

Ik moet -F ldapi:// gebruiken om via de unix-socket te verbinden ipv over TCP/IP.

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done

vrijdag 29 april 2016 11:08

Acties:
  • +1 Henk 'm!
  • Thulium
  • Registratie: September 2011
  • Laatst online: 26-04 10:28

Thulium

@Demo: dat klopt, ldapsearch pakt normaliter de settings uit ldap.conf, maar met de vlaggetjes kun je die op de commandline veranderen.

@Jozuaurk: Ik denk dat het nuttig is om eerst nog wat meer in te lezen over hoe LDAP werkt (en hoe servers bereikbaar zijn via ip- en/of unix sockets).

En nogmaals met klem, gebruik deze setup niet zonder enige vorm van encryptie in een productieomgeving! Een identiteitsserver die plaintext wachtwoorden op de lijn zet is vragen om problemen!

vrijdag 29 april 2016 11:11

Acties:
  • 0 Henk 'm!
  • Demo
  • Registratie: Juni 2000
  • Laatst online: 30-09 11:31

Demo

Probleemschietende Tovenaar

Met de komst van Let's Encrypt is het onderhouden van een CA of de kosten van een certificaat ook niet echt een argument meer... Ik moet heel eerlijk zeggen dat ik nog steeds plaintext draai, maar dat is mijn thuisnetwerk waar niemand anders dan mijn vriendin en ik toegang toe hebben :P

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done

vrijdag 29 april 2016 11:15

Acties:
  • 0 Henk 'm!
  • Thulium
  • Registratie: September 2011
  • Laatst online: 26-04 10:28

Thulium

@Demo: Feit, al is het dan een vereiste dat je server een naam heeft die resolvable is vanaf het Internet. Dat is niet in alle gevallen waar :-)

Maar het opzetten van SSL/TLS encryptie op OpenLDAP is wat dat betreft wel echt een eitje, het is in ieder geval veel minder werk dan de boel via Kerberos beveiligen (been there, done that, but they don't give out t-shirts..). En dat is dan waar FreeIPA weer om de hoek komt kijken :-)

vrijdag 29 april 2016 13:28

Acties:
  • 0 Henk 'm!
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
@thulium @demo

Ik heb verder gekeken maar het ging fout met het opslaan in mijn : dpkg-reconfigure slapd

als ik daar iets instelde wilde hij het niet opslaan (dit kwam omdat ik een backup wou maken van de oudere database onder een foute naam)

De encryptie is niet belangerijk aangezien dit alleen in een test omgeving draait (misschien wel leuk om even mee te gaan testen)

Toch bedankt voor de tips !!

JozuaR

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq