Как задезейблить проверку сертификатов

[acmnu]

Переезжаю с Debian, страшно сказать, 4 на RHEL 6 и хожу по граблям TLS, который конечно с багами: https://bugzilla.redhat.com/show_bug.cgi?id=857455.

Поэтому вопрос простой. Как запретить проверку сертификатов? Совсем запретить? На стороне мастера вроде как olcTLSVerifyClient=never, но это похоже не помогает,  поскольку на клиенте я отхватываю проблемы ещё при старте в не зависимости от  TLS_REQCERT.

bdb_monitor_db_open: monitoring disabled; configure monitor database to enable
slapd starting
TLS: error: the certificate '/etc/openldap/ldap2.pem' could not be found in the database - error -8187:security library: invalid arguments..
TLS: certificate '/etc/openldap/ldap2.pem' successfully loaded from PEM file.
TLS: no unlocked certificate for certificate

Возможно я чего-то не понимаю в этой конструкции.

[egor]

Здравствуйте! Вы хотите вообще избавиться от TLS, или только от проверки клиентского сертификата?
И ещё, покажите, пожалуйста, ваши директивы настройки TLS в конфигурации сервера и конфигурационном файле клиента. Сертификаты и ключи сами генерировали?

Егор

[acmnu]

Избавится хочу только от проверки, разумеется, ибо она забагована.  От tls избавляться глупо.

[acmnu]

Клиент:
TLS_REQCERT   never

Сервер:
olcTLSCACertificateFile: /etc/openldap/masterldap.pem
olcTLSCertificateFile: /etc/openldap/masterldap.pem
olcTLSCertificateKeyFile: /etc/openldap/masterldap.pem
olcTLSCipherSuite: DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:DES-CBC3-S
olcTLSVerifyClient: never

[acmnu]

Полдня ковыряний говорят о том, что это связано с указанным выше багом: всегда используется /etc/openldap/certs и все остальные параметры игнорируются. Вроде я напихал в этот certs все ca, которые нужны, но толку мало.

[egor]

Здравствуйте!

Сервер:
olcTLSCACertificateFile: /etc/openldap/masterldap.pem
olcTLSCertificateFile: /etc/openldap/masterldap.pem
olcTLSCertificateKeyFile: /etc/openldap/masterldap.pem
olcTLSCipherSuite: DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:DES-CBC3-S
olcTLSVerifyClient: never

У вас 3 директивы указывают на один и тот же файл. Если корневой сертификат (olcTLSCACertificateFile) и сертификат сервера (olcTLSCertificateFile) могут быть одним сертификатом (если это самоподписанный сертификат), то закрытый ключ сервера (olcTLSCertificateKeyFile) никак не может храниться в том же самом pem-файле. Вероятно, это ошибка.

Клиент:
TLS_REQCERT   never

Тут явно не хватает директивы

Код: [Выделить]

TLS_CACERT /etc/openldap/masterldap.pemс указанием файла корневого сертификата, чтобы можно было проверить подлинность сертификата сервера

В bug report говорится об ошибке, когда при указании в ldap.conf директивы TLS_CACERTDIR неверно обрабатываются клиентские сертификат/ключ из директив TLS_CERT и TLS_KEY. Мне кажется, это не Ваш случай.

Егор

[acmnu]

> Вероятно, это ошибка.

Нет. Ключ там же. Иначе бы мастер даже не стартанул. Это нормальная практика, когда все сваливается в один pem файл. Собственно я настройки вообще не менял - это все взято из старого slapd.conf

[acmnu]

TLS_CACERT я проверял. Не работает. В общем я могу все что угодно писать в ldap.conf результат один и тот же. Создается ощущение, что в openldap вкрутили какую-то свою базу сертификатов.

[acmnu]

Полез в код этого поделия.  Моя ошибка возникает из-за того, что openldap упрямо хочет испльзовать ерундень под названием MOZNSS (это такая директория для хранения сертификатов) и другие варианты игнорирует.

[egor]

Здравствуйте! MozNSS -- это библиотека, точнее одна из библиотек работы с TLS, шифрованием и т.п. Очевидно, в RedHat openldap собран с этой библиотекой. На мой взгляд, это не должно быть проблемой, хотя сам я использую OpenSSL.

Есть ещё предположение -- используют ли Ваши клиенты тот ldap.conf, с которым Вы экспериментируете? Не знаю, как проверить это "по умному". Я проверил так: изменил в своём ldap.conf переменную BASE на неправильную и попробовал выполнить ldapsearch без указания параметра -b, на что получил:

Код: [Выделить]

# ldapsearch -x -LLL
No such object (32)

Попробуйте запустить клиента с явным указанием переменной окружения:

Код: [Выделить]

# LDAPTLS_CACERT=/etc/openldap/masterldap.pem ldapsearch ...
Если не найдёте решения, всегда есть запасной вариант: собрать OpenLDAP руками с библиотекой OpenSSL.

Егор

[acmnu]

Я уже более менее разобрался. Ошибка, которая у меня возникала - не ошибка.

Хотя я так подумал исходя из того, что там на писано "error". Реальная же ошибка была в виде неприметного сообщения.

got search entry without Sync State control

, которое сообщало, что я лажанулся при настройки syncrep.

Похоже, что в моей конфигурации тот error ничего не значит, либо он вообще ничего не значит, поскольку там половина debug мессаджей означает не то, что там написано.

[egor]

Здравствуйте! TLS-то в итоге работает? Если да, покажите, пожалуйста, итоговые директивы TLS сервера и клиента.

Егор