Dokuwiki ldaps und startTLS

Hallo,

ich würde gern bei uns ein DokuWiki mit dem LDAP Server der LMN verbinden (am besten per ldaps). Hat das jemand schon erfolgreich am laufen? Ich bin leider noch nicht so weit gekommen :frowning: Ich kann mich zwar mit dem LDAP Server vebinden (Port 389, ohne startTLS), aber es kommt die Meldung, dass das Passwort nicht stimmt (was aber nicht der Fall ist…).

Was muss ich zusätzlich beachten, wenn ich mich per ldaps und startTLS verbinden will?

vG

Hallo!

wenn das Wiki auf dem Server laufen soll, gibt es das "portfolio"
https://www.linuxmuster.net/wiki/anwenderwiki:webapps:portfolio

das verwende ich und es funktioniert super :slight_smile:
LG
Max

Hallo Stefan,

ich würde gern bei uns ein DokuWiki mit dem LDAP Server der LMN
verbinden (am besten per ldaps). Hat das jemand schon erfolgreich am
laufen? Ich bin leider noch nicht so weit gekommen :frowning: Ich kann
mich zwar mit dem LDAP Server vebinden (Port 389, ohne startTLS), aber
es kommt die Meldung, dass das Passwort nicht stimmt (was aber nicht der
Fall ist…).

Was muss ich zusätzlich beachten, wenn ich mich per ldaps und startTLS
verbinden will?

in der Grundeinstewllung nimmt unser slapd nur verschlüsselte Anfragen an.
Willst du unbedingt unverschlüsselt, mußt du den slapd umkonfigurieren.

VIele Grüeß

Holger

Genau das habe ich schon gesehen und probiert, aber ich bekomme keine Verbindung zum Server. Unverschlüsselt klappt die Verbindung, aber nicht die Authentifizierung (Danke für den Hinweis @baumhof).

Ich probiere es noch mal.

DokuWiki läuft bei uns in einem LXD Container auf einem anderen Host. Aber das sollte eigentlich kein Problem sein, da die entsprechenden Ports in der Firewall offen sind :thinking:

Danke für den Hinweis. Gibt es in der Grundkonfiguration auch eine Einschränkung, dass die Anfragen nur von localhost oder bestimmten Adressbereichen kommen dürfen?

Hallo Stefan,

Danke für den Hinweis. Gibt es in der Grundkonfiguration auch eine
Einschränkung, dass die Anfragen nur von |localhost| oder bestimmten
Adressbereichen kommen dürfen?

verschlüsselt werden sie von überall angenommen.

Schau mal in die /etc/ldap/slapd.conf
rein, da wird das konfiguriert: am unteren Ende der Datei.
nach Änderungen
service slapd restart

LG

Holger

Hallo Holger,

OK, da muss ich noch mal schauen. Wenn ich ein

ldapsearch -x -H ldaps://10.16.1.1:636

vom Wiki-Server aus mache, bekomme ich diese Meldung:

ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

vG

Hallo “zefanja”,

wenn es mit normalem Ldap geht und mit Ldaps nicht, dann ist fast immer
das selbstsignierte Zertifikat schuld. Ist denn sichergestellt, dass der
Client (also der Rechner mit dem Wiki) die Zertifikatsprüfung ignoriert?
Das wird oft in der Datei /etc/ldap/ldap.conf durch eine Option
"TLS_REQCERT never" geregelt.

Ansonsten fällt mir ein:

  • Steht der Wiki-Rechner in /etc/linuxmuster/workstations?
  • Steht ldaps oder 636 in der Datei /etc/linuxmuster/allowed_ports?

Beides auf dem Server.

Viele Grüße

Jörg

1 „Gefällt mir“

Versuch’s mal so:

ldapsearch -x -D 'uid=<hier-deine-user-ID>,ou=accounts,dc=linux,dc=lokal' -W -H ldaps://10.16.1.1:636 -b ou=accounts,dc=linux,dc=lokal uid=<hier-wieder-deine-user-ID>

Hallo Jörg,

das war’s! Danke :thumbsup:

Ist der erste Punkt wirklich notwendig? Der Rechner steht zwar aktuell drin, aber wird es Zukunft nicht, wenn er in die DMZ ausgelagert wird.

Punkt zwei trifft bei uns nicht zu, da wir eine andere Firewalllösung verwenden.

Also: Danke noch mal :slight_smile:

vG

Hallo,

ich habe noch mal ein bisschen probiert, da ich gern TLS_REQCERT never bzw. TLS_REQCERT allow weglassen würde und möchte das die Verbindung wirklich sicher ist.

Hat damit schon mal jemand Erfolg gehabt? Ich habe das CA-Certificate vom Server kompiert und in der ldap.conf des Clients angegeben, aber ich bekommen keine Verbindung hin. Die Fehlermeldung lautet:

root@host:~# ldapwhoami -H ldap://10.16.1.1 -x -ZZ
ldap_start_tls: Connect error (-11)
	additional info: TLS: hostname does not match CN in peer certificate

Ich habe noch nicht ganz verstanden, was diese Meldung bedeutet und ob der Fehler eher am Server oder am Client liegt.

Wie kann ich mir die cn=config des LDAP-Servers anschauen, um zu überprüfen, welcher hostname da steht?

Hallo “zefanja”,

Hallo @jrichter,

da kam nur die Begrüßung an…

vG

Hallo “zefanja”,

freut mich, dass es klappt!

Ja, die beiden Punkte sind notwendig. Die Firewall, um die es hier geht,
ist nicht der IPFire (oder der Ersatz dafür) sondern diejenige, die den
Server schützt und auf dem Server läuft. Unter anderem:

  • dürfen andere Rechner nur auf die in /etc/linuxmuster/allowed_ports
    angegebenen Ports des Servers zugreifen
  • und das auch nur dann, wenn sie in /etc/linuxmuster/workstations stehen.

Wenn Du also später Deinen Wiki-Server nach Orange umziehst, dann musst
Du da eventuell noch ran. Je nachdem, ob die Anfrage aus Sicht des
LML-Servers von der Firewall (diesmal IPFire oder Ersatz) oder vom
Wiki-Rechner in Orange kommt muss der jeweilige Rechner in der
Workstations-Datei aufgenommen sein.

Viele Grüße

Jörg

Hm, da war wohl der E-Mail-Parser überfordert.

Es ging darum herauszufinden, was in einem Zertifikat so drin steht:

Das geht auf dem Server mit:

openssl x509 -text -in /etc/ssl/private/server.pem

Du musst bei ldapwhoami die IP-Adresse durch den Servernamen ersetzen.

Ich würde Dir allerdings empfehlen, gleich auf ein signiertes Zertifikat
umzusteigen, das geht wirklich schnell und einfach:

https://www.linuxmuster.net/wiki/anwenderwiki:server:ssl-tls-letsencrypt

Herzliche Grüße

Jörg

1 „Gefällt mir“

Hallo Jörg,

danke. Ich schau mir das nochmal genauer an. LetsEncrypt klingt gut, allerdings wollte ich den Server nicht von außen aus erreichbar machen.

vG

Würde mich auch interessieren … oder macht ihr das so, dass ihr den linuxmuster-Server nur kurz nach außen hin erreichbar macht (zur Erneuerung des Zert.) und danach wieder abschottet??

Hallo Jörg,

Danke (mal wieder :slight_smile: ) für den hilfreichen Tipp :thumbsup: Jetzt klappt die Anmeldung auch mit dem Server-Zertifikat!

vG