Opnsense Anbindung an LDAPs

Started by moe, July 25, 2020, 09:54:15 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 25, 2020, 09:54:15 AM
Hallo Leute,
ich versuche mich schon seit ein paar Tagen mit der Anbindung meiner Opnsense an ein Microsoft AD. Vorzugsweise soll der Connect natürlich über LDAPs funktionieren.

Das MS AD hat eine zweistufige PKI im Hintergrund. Das RootCA ist im Truststore der Opnsense. Dennoch klappt die Verbindung mittles LDAPs nicht. Bekomme immer die Meldung:

Code Select
opnsense: Could not startTLS on ldap connection [error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get issuer certificate),Connect error]

Egal ob StartTLS oder SSL verwendet wird.

Danke für die Hilfe.

mFg
July 25, 2020, 09:56:35 AM #1
Mach das am besten mit HAProxy, auf meiner Seite hab ich irgendwann Mal ne Anleitung dazu geschrieben.
July 26, 2020, 03:43:28 PM #2
Bin mir nicht sicher wie mir ein HAProxy beim User-Inventory auf der OPNSense weiterhelfen kann?
Bitte um weitere Unterstützung, oder gibt es niemanden der das zum laufen bekommen hat mit LDAPS?

mfg
July 26, 2020, 04:02:44 PM #3
Doch gibt viele, aber meistens ist es irgendwas dazwischen was man per remote nicht debuggen kann.
July 26, 2020, 04:12:36 PM #4
Die Idee ist, HAproxy oder stunnel von 127.0.0.1:389 nach <domaincontrolker>:636 das SSL machen zu lassen und eine Klartext-LDAP-Verbindubg nach 127.0.0.1 zu verwenden.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 26, 2020, 04:34:51 PM #5
July 26, 2020, 04:39:49 PM #6
Danke für den Hinweis und fürs heraussuchen von deiner HP.
Aber wie eben auf deiner HP bereits beschrieben, sauber ist anders...

Gibt es eventuell eine klare Begründung weshalb es mit den "onBoard" mittel nicht klappt und man zu solchen Kunstgriffen greifen muss?

Bzw. gibt es eine Möglichkeit wie man mittels Debugging vorwärts kommt? Die eine Zeile ist ja nun eher wenig Aussagekräftig.

mfg
July 26, 2020, 05:52:17 PM #7
Du musst dir mit openssl connect Befehl das Zertifikat ziehen und dann importieren + root Zertifikat, plus CN muss per Anfrage übereinstimmen, also brauchst du eventuell einen Host Override.

Ich habs ehrlich gesagt immer mit HAProxy gemacht weil du gleich mehrere DCs angeben kannst, mit Boardmitteln geht ja nur einer.
Print
Go Up Pages1
User actions