OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of apn »
  • Show Posts »
  • Topics
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Topics - apn

Pages: [1]
1
German - Deutsch / [solved] Probleme mit LDAP SSL an Synology
« on: October 01, 2024, 04:08:39 pm »
moin,
ich versuche für OpenVPN meine nutzer direkt mit LDAP aus einer Synology (s02) zu ziehen, die ich als ein RODC (read only domain controller) betreibe. Der PDC ist eine MS windows core server (s01)  (der die meiste zeit aus ist).

die konfiguration System: Zugang: Server bekommt in den System: Protokolldateien: Allgemeinimmer diese Fehlermeldung:
Code: [Select]
2024-10-01T13:47:29   Error   opnsense   LDAP bind error [error:0A000086:SSL routines::certificate verify failed (unable to get local issuer certificate); Can't contact LDAP server]
führe ich aber direkt in der shell von OPNsense
ldapsearch aus, bekomme ich alle benutzer aufgelistet:
Code: [Select]
ldapsearch -v -H "ldaps://s02.aaa.bbb.cc:636" -b "OU=Benutzer,OU=abc,DC=aaa,DC=bbb,DC=cc" -s one -D "test@aaa.bbb.cc" -w "xxx"

openssl wieder rum bringt den gleichen fehler für die synology s02:
Code: [Select]
openssl s_client -connect s02..aaa.bbb.cc:636 -showcerts

CONNECTED(00000003)
depth=0 CN = s02.aaa.bbb.cc
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = s02.aaa.bbb.cc
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = s02.aaa.bbb.cc
verify return:1
---
Certificate chain
 0 s:CN = s02.aaa.bbb.cc
   i:CN = aaa.bbb.cc
-----BEGIN CERTIFICATE-----
MII ... zQ==
-----END CERTIFICATE-----
---
Server certificate
subject=CN = s02.aaa.bbb.cc

issuer=CN = aaa.bbb.cc

---
Acceptable client certificate CA names
CN = aaa.bbb.cc
Requested Signature Algorithms: RSA+SHA256:RSA-PSS+SHA256:RSA-PSS+SHA256:ECDSA+SHA256:Ed25519:RSA+SHA384:RSA-PSS+SHA384:RSA-PSS+SHA384:ECDSA+SHA384:Ed448:RSA+SHA512:RSA-PSS+SHA512:RSA-PSS+SHA512:ECDSA+SHA512:RSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA256:RSA-PSS+SHA256:RSA-PSS+SHA256:ECDSA+SHA256:Ed25519:RSA+SHA384:RSA-PSS+SHA384:RSA-PSS+SHA384:ECDSA+SHA384:Ed448:RSA+SHA512:RSA-PSS+SHA512:RSA-PSS+SHA512:ECDSA+SHA512
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 1610 bytes and written 425 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.3, Cipher is TLS_AES_128_GCM_SHA256
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
No ALPN negotiated
Early data was not sent
Verify return code: 21 (unable to verify the first certificate)
^---- das angezeigte (MII ... zQ==) Zertifikat ist das vom Synology Directory Server autogen Cert

testweise habe ich auf dem rechner Apache Directory Studio getestet, der wiederrum keine probleme mit der LDAP verbindung hat.

mir fehlt anscheinend irgendwo ein zertifikat.
 
aus der Synology habe ich das Synology Directory Server autogen Cert, und aus Verzweiflung auch das (root) Standardzertifikat, unter System: Sicherheit: Zertifikate hinzugefügt.

verbinde ich OPNsense mit dem windows server klappt das mit StartTLS ohne probleme (SSL habe ich das nicht eingerichtet).

die suche im netz und im forum ergab nichts, einzig was ähnliches habe ich nur hier (https://forum.opnsense.org/index.php?topic=17948 ) gefunden, was mir rätsel aufgibt.

ich hoffe jemand weiss einen helfenden rat.
danke

Pages: [1]
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2