bionic-Client: adsso.conf, Icons und verschlüsselte Verbindung mit Zertifkat

Super, dass du das nachvollziehen konntest und den Fehler finden konntest.

Hallo,

sprach ich … und machte ich.
Dummerweise hab ich ein echt schlechtes Gedächtnis: so war ich doch überrascht, als mir Ende Januar gemeldet wurde, dass sich niemand mehr in der Schulkonsole(WebUI) anmelden konnte …
Da ging dann das Suchen los. Zum Glück half mir Arnaud und nach ein paar Tagen fanden wir dann den Eintrag.
Ich hab wieder „no“ reingeschrieben und die WebUI funktionierte wieder…
… für euch zur Info: nur falls auch mal jemand da auf „yes“ stellen will …

LG

Holger

Hi.
Dieser Thread wird „allmählich“ etwas unübersichtlich … aber ich versuche mein Glück.

Holger (@baumhof) , ich habe bei mir auch weiterhin „No“ in der smb.conf stehen. Das ist in Ordnung so.

Arnaud (@arnaud),

  • ich habe das Script, das die LE-Zertifikate an die richtigen Stellen schiebt, vorhin um den Eintrag systemctl restart samba-ad-dc.service erweitert. Das Script läuft hier nachts einmal im Monat.
  • Die Rechte der Keys (0600) macht das Script ja schon richtig.
  • Dass ldbsearch mit gültigem LE-Cert das s nicht mehr verträgt, ist nicht so schlimm – wenn man es weiß. Aber es wäre schon interessant zu erfahren, ob die Anmeldescripte in der Paketverwaltung da künftig das s drin haben sollten oder nicht? Ich weiß nicht, wie viele Installationen hier mit und wie viele ohne TLD als Domainname installiert wurden. (Als ich die v7 Ende 2019 installiert habe, hieß es, dass man ein paar Vorteile hat, wenn man das so macht – aber im Nachhinein betrachtet, hätte ich das besser lassen sollen…)
  • Und nur so aus Interesse: Warum klappt es mit s, wenn man ein Snakeoil-Cert nimmt?
  • Deinen letzten Punkt verstehe noch nicht ganz: Kannst du das mit der chain.pem nochmal genauer sagen?
  • Uhrzeit und DNS müssten hier passen – die Abweichungen, die Michael (@sedding) bei sich festgestellt hatte, habe ich hier imho nicht.

Jetzt habe ich hoffentlich alle offenen Fragen erwischt.
Bis später – viele Grüße,
Michael

Hallo Michael,

ldbsearch verwendet sein eigener Mechanismus um die Ldapverbindung aufzubauen und soll das Zertifikat überprüfen, dafür braucht er den CAFile von Let’s Encrypt, d.h. chain.pem.
Das funktioniert wahrscheinlich mit dem Snake-Oil ( ich weiß nicht genau was Snake-Oil ist ), weil es auch ein Art selbst-signiert ist, und dafür reicht vielleicht den cacert.pem als CAfile.

Man kann die Anfrage per ldap anstatt ldaps machen, aber muss es per Kerberos-Authentifizierung laufen, ansonstens ist es nicht sicher.

Gruß

Arnaud

Hallo Michael,

SSH-Tunnel + VNC machen es möglich von zu Hause, aber da steht die Gefahr, seine Wochenende zu zerschiessen.

Gruß

Arnaud

Hej,

Ich denke, den Punkt verstehe ich. Das heißt die CA-Zertifikatstkette von LE muss auf den Client.

Das passiert bei einer Domänenaufnahme automatisch, da wird die Datei vom Server (/var/lib/samba/sysvol/meine-schule.de/tls/cacert.pem) auf dem Client abgelegt (als /var/lib/samba/private/tls/meine-schule.pem).

Bitte korrigiert mich, wenn ich das falsch verstanden habe.

Das cacert sollte sich eigentlich nicht sehr oft ändern, tut es aber halt zumindest manchmal.
Deshalb wäre es vermutlich sinnvoll, dass man das richtige Zertifikat noch direkt auf den Client bringt.
Entweder manuell, was @Arnaud empfiehlt, oder vielleicht automatisiert per Postsync…

Ich habe gerade meine Version des Scripts um diese Zeilen ergänzt

# Make copies of the CA-certificate for the client
cp chain.pem /var/lib/samba/sysvol/$domain/tls/cacert.pem
if [ ! -d "/srv/linbo/linuxmuster-client/$cloopname/var/lib/samba/private/tls/" ]; then
  mkdir -p /srv/linbo/linuxmuster-client/$cloopname/var/lib/samba/private/tls/
fi
cp chain.pem /srv/linbo/linuxmuster-client/$cloopname/var/lib/samba/private/tls/$domain.pem

Bitte um Kontrollblick. Funktioniert so natürlich erst mal nur mit einem einzelnen cloop. Sind die Dateiberechtigungen hier wichtig? Auf dem Client hat die /var/lib/samba/private/tls/$domain.pem derzeit 755.

Grüße
Michael

Hej, kurz OT:

Da sagst Du was! Das ist die nächste Baustelle. Im Moment tunnele ich mich per SSH zu einem XOA im grünen Netz durch und habe dort einen virtuellen Testclient. Aber das zeigt ganz komische Effekte (Z.B. kann ich den Client nicht mit Linbo syncen, weil der abrupt und unvermittelt aufhört sich das Image zu holen)
Langer Rede kurzer Sinn. Sobald Zeit ist, will ich das VNC aufsetzen.
Grüße und nochmal Danke für die Antworten.
Michael

Hier steht, woher der Begriff kommt

Hallo,

für Arnaud:

https://woerterbuch.reverso.net/deutsch-franzosisch/Schlangenöl

Also: remède miracle

LG

Holger

Hi Michael.
Ok – dann passt aber noch etwas nicht zusammen, denn die Datei unter
[root@server:/var/lib/samba/sysvol/meine-schule.de/tls]$ cacert.pem ist bei mir von 2019 und stammt von daher von der Erstinstallation.

Ich müsste daher vorher vermutlich noch eine Kopie (oder reicht auch ein Symlink?) von /etc/linuxmuster/ssl/cacert.pem (aktuell vom 15.02.) --> /var/lib/samba/sysvol/meine-schule.de/tls/ anlegen, richtig??

Da bin ich aber wirklich froh, dass wir nah an einer Lösung des Problems sind!
Viele Grüße,
Michael

Hej,

Ich habe das noch nicht getestet. Aber genauso hatte ich das:

verstanden.

Es spricht vermutlich nichts gegen einen Symlink. Ich habe es in unserem Skript (siehe oben) einfach kopiert:

cp chain.pem /var/lib/samba/sysvol/$domain/tls/cacert.pem

Das eigentliche Problem ist ja aber, dass die Datei zeitnah nach einem renewal auf die Clients muss… Falls dir da was besseres einfällt als wie oben per postsync, dann sag Bescheid…

Das Ganze würde tatsächlich auch erklären, warum unser Problem am Anfang des Jahres aufgetreten ist. Die cacert.pem hat sich bei mir auf dem Server am 31.12. geändert… Auf den Clients war noch die alte…

Grüße
Michael

Ok – ich habe es gerade auch so gemacht und wundere mich nur noch über Rechte und Besitzer. Der Vergleich zeigt:

-rwxrwx---+ 1 root BUILTIN\administrators 1359 Sep 14  2019 cacert.pem
wohingegen 
-rw-r-----+ 1 root root                   1587 Feb 20 17:49 cacert.pem

Hast du die Gruppenmitgliedschaft und Leserechte auch geändert?

Ja, das stimmt – das würde bedeuten, dass man häufig/immer sync. starten muss. Vielleicht wäre für diesen speziellen Fall ja auch die neue Möglichkeit des Pre-Start möglich, die Thomas neulich im discourse vorgestellt hatte?? Wenn ich das richtig verstanden habe, könnte man das vor einem Sync nutzen…?

Was meinst du?
Viele Grüße,
Michael

Hej,

Darüber habe ich mich auch gewundert. Allerdings hatte schon mein letztes Zertifikat schon root:root
weshalb ich dem keine Bedeutung zugemessen habe.
Dateirechte hatte ich wohl mal geändert…

-rwxrwx---+ 1 root root                   1586 Feb 20 11:38 cacert.pem*
-rwxrwx---+ 1 root root                   1359 Sep  8 06:54 cacert.pem.bkp-ms*

Hmm. Vermutlich. Aber auch das löst das Problem nicht - denn am Kabel muss man das Gerät ja dann trotzdem starten, oder geht inzwischen WLAN-Linbo und ich habe das verpasst…?

Grüße
Michael

… was mich an der Sache noch wundert: Wir sprechen hier von der Datei cacert.pem – aber Dominik meint im Parallelthread offenbar eigentlich die chain.pem (den Dateinamen habe ich so nicht im LE-Bundle dabei!)

Hej,
das gehört m.W. so. Dominik hat das so absichtlich geschrieben: die chain.pem aus dem LE-Dateien in das …/sysvol/…/tls-Verzeichnis als cacert.pem` kopieren.

Auf den Inhalt kommt es an:. Es handelt sich beidesmal um das CA-Zertifikat aus der keychain.
Grüße
Michael

Ok, – nur um es nochmal gegen zu checken:
ich habe im LE-Zertifikat die Datei ca.cer die in cacert.pem umbenannt wird. Genau diese Datei ist gemeint, ja? Das wundert mich etwas, da Dominik von der chain.pem schreibt …

Hej,

chain.pem heißt das intermediate Zertifikat, wenn certbot die Dateien erstellt. vgl. hier: User Guide — Certbot 1.11.0.dev0 documentation

Welche Software holt bei dir die Zertifikate? Ich vermute, die ca.cer entspricht der chain.pem von certbot…

Grüße
Michael

Hier erledigt das die OPNSense selbst… die Dateinamen unterscheiden sich etwas…

Ich schaue das sofort nach:

Hier hatten wir das vor einem Jahr diskutiert

Hi nochmal.
Wir können vermutlich nur im direkten Vergleich herausfinden, welche Datei es sein muss. Könntet Du bei dir diese Befehle absetzen und schauen, was die ausspucken:

[root@server:/var/lib/samba/sysvol/meine-domain.de/tls]$ 
openssl x509 -subject -issuer -noout -in ./cacert.pem
 
und im Vergleich dazu in der Original-Datei:

openssl x509 -subject -issuer -noout -in ./cacert.pem-original 

Viele Grüße,
Michael

Komm, wir verlagern das mal in direkte Kommunikation sonst wird der Thread hier lang.

1 „Gefällt mir“