[solved] Probleme mit LDAP SSL an Synology

[apn]

moin,
ich versuche für OpenVPN meine nutzer direkt mit LDAP aus einer Synology (s02) zu ziehen, die ich als ein RODC (read only domain controller) betreibe. Der PDC ist eine MS windows core server (s01)  (der die meiste zeit aus ist).

die konfiguration System: Zugang: Server bekommt in den System: Protokolldateien: Allgemeinimmer diese Fehlermeldung:

Code: [Select]

2024-10-01T13:47:29   Error   opnsense   LDAP bind error [error:0A000086:SSL routines::certificate verify failed (unable to get local issuer certificate); Can't contact LDAP server]
führe ich aber direkt in der shell von OPNsense
ldapsearch aus, bekomme ich alle benutzer aufgelistet:

Code: [Select]

ldapsearch -v -H "ldaps://s02.aaa.bbb.cc:636" -b "OU=Benutzer,OU=abc,DC=aaa,DC=bbb,DC=cc" -s one -D "test@aaa.bbb.cc" -w "xxx"

openssl wieder rum bringt den gleichen fehler für die synology s02:

Code: [Select]

openssl s_client -connect s02..aaa.bbb.cc:636 -showcerts

CONNECTED(00000003)
depth=0 CN = s02.aaa.bbb.cc
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = s02.aaa.bbb.cc
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = s02.aaa.bbb.cc
verify return:1
---
Certificate chain
 0 s:CN = s02.aaa.bbb.cc
   i:CN = aaa.bbb.cc
-----BEGIN CERTIFICATE-----
MII ... zQ==
-----END CERTIFICATE-----
---
Server certificate
subject=CN = s02.aaa.bbb.cc

issuer=CN = aaa.bbb.cc

---
Acceptable client certificate CA names
CN = aaa.bbb.cc
Requested Signature Algorithms: RSA+SHA256:RSA-PSS+SHA256:RSA-PSS+SHA256:ECDSA+SHA256:Ed25519:RSA+SHA384:RSA-PSS+SHA384:RSA-PSS+SHA384:ECDSA+SHA384:Ed448:RSA+SHA512:RSA-PSS+SHA512:RSA-PSS+SHA512:ECDSA+SHA512:RSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA256:RSA-PSS+SHA256:RSA-PSS+SHA256:ECDSA+SHA256:Ed25519:RSA+SHA384:RSA-PSS+SHA384:RSA-PSS+SHA384:ECDSA+SHA384:Ed448:RSA+SHA512:RSA-PSS+SHA512:RSA-PSS+SHA512:ECDSA+SHA512
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 1610 bytes and written 425 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.3, Cipher is TLS_AES_128_GCM_SHA256
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
No ALPN negotiated
Early data was not sent
Verify return code: 21 (unable to verify the first certificate)
^---- das angezeigte (MII ... zQ==) Zertifikat ist das vom Synology Directory Server autogen Cert

testweise habe ich auf dem rechner Apache Directory Studio getestet, der wiederrum keine probleme mit der LDAP verbindung hat.

mir fehlt anscheinend irgendwo ein zertifikat.
 
aus der Synology habe ich das Synology Directory Server autogen Cert, und aus Verzweiflung auch das (root) Standardzertifikat, unter System: Sicherheit: Zertifikate hinzugefügt.

verbinde ich OPNsense mit dem windows server klappt das mit StartTLS ohne probleme (SSL habe ich das nicht eingerichtet).

die suche im netz und im forum ergab nichts, einzig was ähnliches habe ich nur hier (https://forum.opnsense.org/index.php?topic=17948 ) gefunden, was mir rätsel aufgibt.

ich hoffe jemand weiss einen helfenden rat.
danke

[Patrick M. Hausen]

Installier in der OPßnsense mal das CA-Zertifikat, mit dem das Server-Cert der Synology erstellt wurde.

[JeGr]

> mir fehlt anscheinend irgendwo ein zertifikat.

Nope, dein AD bzw. dein AD/LDAP Setup hat wahrscheinlich auf dem PDC/DC kein richtiges Zertifikat gehabt, darum läuft auch die Synology einfach mit ihrem self-signed Schlumpf Zert. OPNsense braucht aber für sinnvolles Usermanagement via LDAP (soweit mir bekannt) eine saubere sichere Verbindung - sprich das Zert muss OK sein, was bei einem self-signed nicht so ohne weiteres geht. Entweder du stellst auf dem PDC ein sauberes LDAP Cert gegen eine eigene CA aus - und die Syno macht dann auch ein Cert gegen die gleiche CA für sich als weiterer DC -> dann kannst du das CA Zert bei der Sense einspielen und die kann sich dann gegen die beiden DCs problemlos connecten, weil die Zert Kette stimmt.

Ansonsten könntest du nur versuchen, das Stammzert von der Syno direkt auf der Sense als "trusted" einzuspielen, aber das wird wahrscheinlich auch nicht so nett.

Das ist BTW auch das, was im zitierten Beitrag steht. Seine Lösung (Post #3) war das Stammzert (also das der CA, die die internen Zertifikate für die LDAP Server ausgestellt hat) in die Sense einzuspielen. Da LDAPS inzwischen auch bei MS Standard ist, lohnt es sich, eine saubere interne Domain zu fahren, die nicht "irgendwas.local" ist (was bei Zertifikaten dann die Hölle lostritt), sondern eine ordentliche interne Domain (sowas wie lan/home/int.domain.tld) zu nutzen und ordentliche Zertifikate überall einzuspielen, dann gibts auch bei solchen SSL Baustellen keine größeren Probleme.

@Patrick: die Syno hat per default eigentlich ein self-signed, da gibts keine CA.

Cheers

[apn]

wow, danke jens und patrick,
ich fühle mich gerade wie VW beim falschen spiel mit (co2)zertifikathandel erwischt.
ich habe mich da nicht um die CAs gekümmert, dachte der PDC ist sowieso immer down.
aber das passt aufs auge.

btw. meine lokale domain ist schön brav eine sub meiner existierenden web domain, wobei beide nichts voneinander wissen (alle anderen empfehlungen, die gefühlt auch alle zwei jahre von der ICANN kommen, waren nicht so rund, vorallem weil ich in der firma wegen blabla.intern schon probleme hatte).

ich probier das die tage aus (hatte mit so einer schnellen und passenden antwort nicht so bald gerechnet) und geb bescheid.
vielen dank

[Patrick M. Hausen]

Subdomain einer offiziellen ist super. Installier die Zertifikatsdienste auf dem DC falls noch nicht geschehen und dann sollte das flutschen wie von Jens beschrieben.

[apn]

wollte kurz bescheid geben, dass es geklappt hat.

• hab auf dem PDC die AD certificate services installiert und einen Root CA daraus gemacht
• das Root CA Cert exportiert (ohne key)
• (zum üben) autoenroll für die client computer eingerichtet
• auf der Syn die CSR händisch erstellt (weil über das DSM die SANs nicht eingetragen werden, und auch die Zertifikatsvorlageninfos fehlen)
• Cert mit certreq erstellt und in die Syn als Standard- und AD-Cert importiert
• in OPNsense das Root CA Cert als Authority importiert
• in der OPNsense WebGUI eine CSR an die CA erstellt (bin aber damit noch nicht zufrieden, weil auch hier die alternativen SANs fehlen und ich es noch nicht als SSL Cert benutzen kann)
• Cert mit certreq erstellt und in OPNsense importiert, aber vorher den CSR Eintrag entfernt

jetzt klappt es mit der Verbindung zwischen OPNsense und Syn.

anscheindend ist das importierte Root CA Cert weiterhin wichtig. entfern ich es, klappt LDAP nicht mehr (vllt weil das CSR darauf verwiesen hat). das muss ich noch lösen, und andere kleine dinge, wie zb warum die Zertifikate 2 Jahre halten, obwohl ich 5 in der Vorlage eingetragen habe.

zum schluss vielen dank, und die frage natürlich: ob bedarf besteht, das, wenns fertig ist, als howto im forum zusammenzufassen (von einem rookie)?