LMN7 Serverzertifikat wird von BBB nicht anerkannt

Hallo Gemeinde,
ich habe gestern auf die 2.3dev umgestellt. Leider klappt die LDAP Anbindung an unseren Server nicht.

Folgende Meldungen kommen als Fehler wird das Zertifikat bemängelt. Was haben wir hier falsch gemacht?

2021-03-15 11:33:39 +0000 - INFO: [03d6c366-8bb2-48fc-b960-368b4fe06214] method=POST path=/b/auth/ldap format=html controller=SessionsController action=ldap status=500 error='Net::LDAP::Error: hostname "xxxxx.mmswn.de" does not match the server certificate' duration=58.53 view=0.00 db=0.97 host=greenlight 2021-03-15 11:33:39 +0000 - FATAL: [03d6c366-8bb2-48fc-b960-368b4fe06214] 2021-03-15 11:33:39 +0000 - FATAL: [03d6c366-8bb2-48fc-b960-368b4fe06214] Net::LDAP::Error (hostname "xxxx.mmswn.de" does not match the server certificate): 2021-03-15 11:33:39 +0000 - FATAL: [03d6c366-8bb2-48fc-b960-368b4fe06214] 2021-03-15 11:33:39 +0000 - FATAL: [03d6c366-8bb2-48fc-b960-368b4fe06214] app/controllers/sessions_controller.rb:146:in ldap 2021-03-15 11:33:39 +0000 - INFO: [03d6c366-8bb2-48fc-b960-368b4fe06214] method=POST path=/b/500 format=html controller=ErrorsController action=internal_error status=500 duration=19.74 view=12.42 db=0.14 host=greenlight

Wo kann ich hier drehen?
Mir der 2.2 er Version kam auch ein ähnlicher Fehler, aber nach ca 1 Tag hat es dann gefunkt…
Grüße Ralf

Hallo Ralf,

Den Hostname, den du verwendest, ist nicht gleich, wie der Hostname, der im Zertifikat eingetragen ist.

Du kannst es überprüfen mit :

openssl s_client -connect *****.mmswn.de:636

Das steht ganz klar als CN im Certificate chain.

Auf dem Port 443 du verwendest ein Wildcard Zertifikat, was immer passt zu deiner Domän :

openssl s_client -connect *****.mmswn.de:443
Certificate chain
 0 s:OU = Domain Control Validated, OU = EssentialSSL Wildcard, CN = *.mmswn.de

Ich sehe 3 Weg um es zu lösen :

  • Eintrag in die DNS machen, so dass beide Hostname stimmen, und dann den richtigen Hostname in BBB verwenden,
  • auf meet den LDAP-Zertifikat nicht überprüfen ( schlechte Lösung, nicht sicher )
  • den Wildcard Zertifikat auch für LDAP-Port verwenden ( achtung, das ist keine einfache Änderung ! )

Gruß

Arnaud

Hallo @Arnaud ,
danke dir. Der DNS ist angelegt.
Nun kommt in greenlight noch die Fehlermeldung, dass dies nicht ein „safe Host“ sei.

2021-03-16 09:51:27 +0000 - INFO: [10f3e9ce-9ca7-46e6-bfcf-45961be1eb82] method=GET path=/b/ format=html controller=MainController action=index status=500 error=‚Errors::UnsafeHostError: video.mmswn.de is not a safe host‘ duration=2.05 view=0.00 host=
2021-03-16 09:51:27 +0000 - FATAL: [10f3e9ce-9ca7-46e6-bfcf-45961be1eb82]
2021-03-16 09:51:27 +0000 - FATAL: [10f3e9ce-9ca7-46e6-bfcf-45961be1eb82] Errors::UnsafeHostError (video.mmswn.de is not a safe host):
2021-03-16 09:51:27 +0000 - FATAL: [10f3e9ce-9ca7-46e6-bfcf-45961be1eb82]
2021-03-16 09:51:27 +0000 - FATAL: [10f3e9ce-9ca7-46e6-bfcf-45961be1eb82] app/controllers/application_controller.rb:49:in block_unknown_hosts' 2021-03-16 09:51:27 +0000 - INFO: [10f3e9ce-9ca7-46e6-bfcf-45961be1eb82] method=GET path=/b/500 format=html controller=ErrorsController action=internal_error status=500 error='Errors::UnsafeHostError: video.mmswn.de is not a safe host' duration=0.41 view=0.00 host=
Was habe ich jetzt falsch gemacht?
Grüße Ralf

Ich glaub ich habe die Lösung gefunden:
`Setting Allowed HostsAnchor link for: setting allowed hosts

For reasons related to security, you’ll also need to specify the domain from which the application will be accessible from.

In your .env file, set the SAFE_HOSTS to your domain. If Greenlight is accessible at https://bbb.example.com/b then SAFE_HOSTS=bbb.example.com
`
Anmeldemaske kommt, doch leider geht die LDAP Anmeldung noch nicht richtig.

Die eingegebene E-Mail und das Passwort sind nicht richtig. Bitte versuchen Sie es erneut oder wählen Sie die Option Ihr Passwort zurückzusetzen, falls Sie es vergessen haben.
Langsam ernährt sich das Einhorn :slight_smile:
Ralf

Hallo Ralf,

Wenn die LDAP-Verbindung nicht klappt, versuche ich erst mal einfach mit ldapsearch den LDAP-Server von den Fernserver zu kontaktieren um zu schauen, ob eine Antwort kommt.

Gruß

Arnaud

Hallo Arnaud,
ich habe den DNS Eintrag gemacht.
Leider geht es von BBB aus immer noch nicht. Von Moodle aus geht die LDAP abfrage aber immer noch.
Also muss es ein anderes Problem sein.
Grüße Ralf

Hallo Ralf,

Hast einen Test mit ldapsearch aus dem BBB-Server gemacht, wie ich es empfohlen habe ?

Gruß

Arnaud

Hallo Arnaud,
nein nicht. Ich muss mich erst mit der Syntax von ldapsearch vertraut machen.
Habe von zu Hause mit JXplorer getestet. Hier kommt leider ein Fehler bzgl Zertifikat.
Grüße Ralf

Hallo Ralf,

Das kannst du auf deinem BBB-Server testen :

ldapsearch -x -H ldaps://DOMAIN -b "dc=linuxmuster,dc=lan" "(uid=*)" -D 'CN=LEHRER,OU=Teachers,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan' -W

Mit einem angepassten Lehrer und DC.

Gruß

Arnaud

Hallo Arnaud,
scheint nicht zu klappen.
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Auch nicht von meinem Laptop aus.
Was kann ich noch testen?
Von Moodle aus geht ja LDAPs. Warum nicht von Greenlight aus?
Grüße Ralf

Hallo Ralf,

Wenn ldapsearch dieser Fehlermeldung zeigt, dann liegt das Problem nicht bei Greenlight, sondern dein BBB-Server kann nicht den Ldap-Server erreichen. Evtl gibt es ein Firewall dazwischen der das blockt ?

Gruß

Arnaud

Hallo Arnaud,
mit Hilfe der Verbindungsdaten auf der Firewall und dem Server bin ich mit unserem DIenstleister zusammen auf die Lösung gekommen:
Die LDAP Base war nicht richtig eingestellt
LDAP_BASE=OU=default-school,OU=schools,DC=linuxmuster,DC=xxxx,DC=xx
Und der DNS EIntrag war nicht korrekt.

Jetzt läuft bei uns sogar die neue Version 2.3dev - Alpha 8
Und die bringt neue Features mit… :slight_smile:
Ich danke dir, ich habe wieder einiges gelernt.
Ralf