Serverumzug -- LDAP funktioniert nicht mehr. Wo ist der Denkfehler?

Hallo.
Ich drehe mich im Kreis … wer sieht hier den Denkfehler:
Wir mussten mit unserem Webserver (bei HostEurope gehostet) umziehen auf aktuellere Hard-/Software. Die Migration ist beendet und alle Domains wurden rübergeholt.

Da dort auch unser moodle läuft, wird von dort aus die LDAP-Auth. gegen den v7-Server gemacht. Eingestellt ist das so, dass der moodle-Server direkt die DynDNS-Adresse bei unserem DynDNS-Anbieter verwendet, also sowas wie https://meine-dyn-adresse:636

Vom alten Webserver aus gibt es keine Probleme doch der neue Webserver meldet die wohlbekannte Meldung:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Das sieht also mal wieder sehr stark nach Zertifikatsproblemen aus, aber ich verstehe nicht, was das hier damit zu tun hat? Auf dem v7-Server hat sich ja nichts verändert.

Wenn ich LDAPTLS_REQCERT=never vor ein ldapsearch-Anfrage stelle, geht die Anfrage durch. Blickt jemand durch, warum beide Server unterschiedlich reagieren, obwohl der Zielrechner das gültige Zertifikat hält???

Danke für Zertifikats-Nachhilfe, Teil 1000.
Michael

Hallo Michael,

Vielleicht ist TLS_REQCERT never nur auf dem alten Server in /etc/ldap/ldap.conf eingetragen ?

Gruß

Arnaud

Hallo Arnaud,
das war’s! Ich hatte nach LDAPTLS_REQCERTund nicht nach TLS_REQCERTgesucht … und entsprechend nichts gefunden.

Aber nur nochmal aus Interesse: Warum funktioniert es nicht auch mit TLS-Cert?
Besten Dank und viele Grüße,
Michael

Hallo Michael,

Aber nur nochmal aus Interesse: Warum funktioniert es nicht auch mit
TLS-Cert?

das verstehst du falsch.
Es geht nur mit einem TLS Cert.
Die Zeile die du da reingeschrieben hast sagt, dass die echtheit des TLS
Certs nicht falidiert werden soll (damit einem selbstsignierten Cert
vertraut wird).

LG

Holger

Hallo Holger,
ich verwende auf dem v7-Server aber kein selbst-signiertes Zertifikat sondern ein gültiges LE-Zertifikat!
Die Chain of Trust wird auch komplett und richtig angegeben, wenn ich es mit
echo -n | openssl s_client -CApath /etc/ssl/certs/ -connect server.linuxmuster.meine-schule.de:636
versuche :thinking:
Aber warum das wiederum nicht mit dem „Request TLS Cert“ Befehl zusammen funktioniert → :question:

Viele Grüße,
Michael