LDAP und Webuntis - Lösung

Server v7 v7-Betatest
8

Hej,
Ich hänge auch bei der Konfiguration von samba für ein LE-Zertifikat und bräuchte den Blick eines Wissenden… :face_with_monocle:

Es läuft auf dem Schulserver certbot, das LE-Zertifikat wurde erfolgreich abgeholt. In der WebUI ist es als sowohl als „SSL-Zertifikats-Datei“ auch als „FQDN Zertifikatsdatei“ eingetragen. Surft man die WebUI von einem Client aus an, ist die Seite mit dem richtigen LE-Zertifikat gesichert.

Test funktioniert:

root@server:/# echo -n | openssl s_client -CApath /etc/ssl/certs/ -connect localhost:443 | grep issuer
[...]
issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
[...]

Soweit so gut. :+1:

Auf Port 636 läuft aber noch das selbssignierte Zertifikat, wie der Test hiermit zeigt: openssl s_client -CApath /etc/ssl/certs/ -connect localhost:636 .

Ich habe entsprechend das LE-Zertifikat in die smb.conf eingetragen.

[global]
tls keyfile = /etc/letsencrypt/live/server.<HiermeinFQDN>/privkey.pem
tls certfile = /etc/letsencrypt/live/server.<HiermeinFQDN>/fullchain.pem
tls cafile = /etc/letsencrypt/live/server.<HiermeinFQDN>/chain.pem

Das kommt auch korrekt an, wie testparm bestätigt.
AAAAber: Danach samba neu gestartet und getestet… Und Bämm! Fehlermeldung… :-1:

root@server:/etc/samba# vi smb.conf         <-- LE-Zertifikat eingetragen
root@server:/etc/samba# systemctl restart samba-ad-dc
root@server:/etc/samba# echo -n | openssl s_client -connect localhost:636
140511341945280:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:110:
140511341945280:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:111:
140511341945280:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:110:
140511341945280:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:111:
connect:errno=111

Der Server will die Verbindung gar nicht annehmen:

root@server:/etc/samba# tcptraceroute server.<HiermeinFQDN> 636
Selected device lo, address 10.16.1.1, port 45889 for outgoing packets
Tracing the path to server.<HiermeinFQDN> (10.16.1.1) on TCP port 636 (ldaps), 30 hops max
 1  10.16.1.1 [closed]  0.067 ms  0.036 ms  0.047 ms

Mache ich die Änderungen in der smb.conf rückgängig, geht alles wieder:

root@server:/etc/samba# vi smb.conf         <-- selbstsigniertes cert wieder rein
root@server:/etc/samba# systemctl restart samba-ad-dc
root@server:/etc/samba# systemctl restart linuxmuster-webui
root@server:/etc/samba# tcptraceroute server.<HiermeinFQDN> 636
Selected device lo, address 10.16.1.1, port 33015 for outgoing packets
Tracing the path to server.<HiermeinFQDN> (10.16.1.1) on TCP port 636 (ldaps), 30 hops max
 1  10.16.1.1 [open]  0.072 ms  0.052 ms  0.054 ms

Sieht jemand, was ich falsch mache?
Wie kriege ich denn das LE-Zertifikat auf den LDAP - ohne mir Benutzeranmeldung und shares und alles zu zerschießen? :exploding_head:

Bitte um Hilfe.
Grüße
Michael