Ja oder halt das zertifikat einbinden... dat müsste /usr/share/pki/trust/anchors/
in SuSe sein und dann update-ca-certificates
(jo in der man der auch der pfad )
Gromunnio AD get certain user with ldap
Das stammzertifikat der lokalen domäne. Also bei nem windows netz mit zertifikatsdienst/server kannste ja einfach jenes exportieren und dann auf dem server entsprechend mittels dem update-ca-certificates einbinden.
https://learn.microsoft.com/en-us/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/export-root-certification-authority-certificate
Bei nem samba-ad-dc das /var/lib/samba/private/tls/ca.pem
wenn ich mich nun nicht irre o_0.
- Edited
Wenn es ein AD ist, in der LDAP Konfiguration LDAPS ohne Start TLS verwenden, z.B.:
ldaps://icc-ad1.xxxx.local ldaps://icc-ad2.xxxx.local
Die Datei /etc/openldap/ldap.conf
ergänzen:
URI ldaps://icc-ad1.xxxx.local ldaps://icc-ad2.xxxx.local
BASE OU=XXX,DC=xxxxx,DC=local
TLS_REQCERT allow
Das TLS_REQCERT allow
ist wichtig.
Grund: das Admin-UI ist in Python geschrieben und Python akzeptiert fast jedes Zertifikat, der Kernel gromox verwendet eine SSL Library und die ist heikler, da muss man dann TLS_REQCERT allow
setzen.
gromox-zcore
und gromox-http
restarten, dann sollte es funktionieren. Eine gültige LDAP Konfiguration vorausgesetzt.
Ergänzung: URI
und BASE
müssen wie in der /etc/gromox/ldap_adaptor.cfg
gesetzt sein.
Also ich mache das mittels update-ca-certificates und dann halt
| 1 | ldap_uri | ldaps://bxxxx...local:636 ldaps://mxxx..local:636
des war nun aus der sql tabelle wegen org ldap aber selbe in grün.
kein anpassen in der ldap.conf notwendig gewesen.
- Edited
crpb @WalterH
Ja man muss echt nichts weiter machen ich habe es jetzt am laufen - für die Anderen mit der gleichen Frage
LDAP mit STARTTLS:
vorraussetzung ist, dass man eine Win Domain hat und auch schon einen Zertifizierungsserver hat.
Man mus dann diesen als Ziel nehmen für den sync, wil im Zertifikat bei Windows ist der Hostame drin und, wenn man einen anderen Server nimmt geht es nciht und der DNS sollte auch mit dem Zertifizierungsserver gehen.
1. CA-Zertifikat vom Windows AD Server exportieren( HIER WIE OPEN BESCHRIEBEN DAS ZERTIFIKAT DES ZERTIFIZIERUNGSSERVERS NEHMEN)
- CA-Zertifikat exportieren:
- Auf einem Windows-Rechner:
- Zertifikatsverwaltung öffnen:
- Drücke
Win
+R
, gibcertlm.msc
ein und bestätige mitEnter
. - Navigiere zu "Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate".
- Suche das Zertifikat deiner Domänenzertifizierungsstelle (CA).
- Rechtsklick auf das Zertifikat, wähle "Alle Aufgaben > Exportieren".
- Wähle das Format Base-64 codiertes X.509 (.CER) aus und speichere die Datei.
- Auf einem Windows-Rechner:
2. CA-Zertifikat auf openSUSE hinzufügen
- Kopiere die exportierte Zertifikatsdatei nach
/etc/pki/trust/anchors
auf dem openSUSE-Host. - Aktiviere das neue Zertifikat mit folgendem Befehl:
sudo update-ca-certificates
3. Verbindung testen
- Teste die Zertifikate, indem du eine Verbindung zum Server herstellst:
openssl s_client -connect <server-hostname-oder-ip>:443 -CApath /etc/ssl/certs
Überprüfe, ob das Zertifikat korrekt erkannt wird.
4. Verbindung mit LDAP testen
- Verwende
ldapsearch
, um die Verbindung zu prüfen. Der Schalter-ZZ
aktiviert die verschlüsselte Kommunikation:
ldapsearch -H ldap://EUER_ZERTIFIZIERUNGSSERVER.local/ -ZZ (Als Beispiel hier müsste man noch den Benutzer hinzufügen mit dem gesynct wird und evtlder base DN des Pfades oder Syntax, was gesucht werden soll, wie in den Grommunio LDAP Filter in der Webgui unter LDAP Directory)
Das wars - ich musste nurnoch den falschen Server den ich genommen hatte auf den Zertifizierungs Server setzten, meine user gelöscht neu gesynct und im webmail anmelden und freuen!
Was ich am längsten für hgebraucht hab zu merken: die CA in diesem Fall, ermöglichen nur den Zugriff auf dem Server, auf dem sie erstellt wurden und das DNS sollte gehen - ich hab nen fehler gefunden wir haben alles neu Vergeben bei allen Servern wegen segmentierung, also oben die addressen sind vor kurzen eh nichtmehr aktuell und es wurde keine reverse zone vergeben für das neue netz und es schlägt fehl, deswegen musste ich den Hostnamen als ladp quellserver nehmen - diese Auflösung geht.
das Einzige was bleibt ist dass eine gruppe mit importiert wird, obwohl der Filter nur auf personen gesetzt ist, aber das ist noch erträglich, weil sie keine der 5 freien Plätze einnimmt.
LDAPS, das S steht für Secure und das ist Port 636 bei LDAP. Bei HTTP ist unsecure Port 80 und HTTP Secure also HTTPS ist Port 443. Hoffe, das klärt die Frage. StartTLS kann auch über 389 funktionieren, da TLS (secure) erst später eingeschaltet wird.