6

以下の試みのトラブルシューティング方法についてアドバイスをいただけますでしょうか。LDAPサーバーにバインドしようとしていますが、無駄です。

openssl s_client -CApath /etc/pki/ca-trust/source/anchors/ -connect ...:636

それは成功します:

 Verify return code: 0 (ok)

それはシステム側からのものですが、python-ldapモジュールを介してバインドしようとすると:

In [1]: import ldap

In [2]: l = ldap.initialize('ldaps://...:636')

In [3]:  ldap.set_option(ldap.OPT_X_TLS_REQUIRE_CERT,ldap.OPT_X_TLS_ALLOW)

In [4]: l.set_option(ldap.OPT_X_TLS_CACERTFILE,"/etc/pki/ca-trust/source/anchors/cacert.pem")

In [5]: l.set_option(ldap.OPT_X_TLS_NEWCTX,0)

In [6]: l.simple_bind_s("...", "...")
---------------------------------------------------------------------------
SERVER_DOWN                               Traceback (most recent call last)
<ipython-input-6-a59dae8ba541> in <module>()
----> 1 l.simple_bind_s("...", "...")

/usr/lib64/python2.7/site-packages/ldap/ldapobject.pyc in simple_bind_s(self, who, cred, serverctrls, clientctrls)
    205     simple_bind_s([who='' [,cred='']]) -> None
    206     """
--> 207     msgid = self.simple_bind(who,cred,serverctrls,clientctrls)
    208     resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all=1,timeout=self.timeout)
    209     return resp_type, resp_data, resp_msgid, resp_ctrls

/usr/lib64/python2.7/site-packages/ldap/ldapobject.pyc in simple_bind(self, who, cred, serverctrls, clientctrls)
    199     simple_bind([who='' [,cred='']]) -> int
    200     """
--> 201     return self._ldap_call(self._l.simple_bind,who,cred,RequestControlTuples(serverctrls),RequestControlTuples(clientctrls))
    202 
    203   def simple_bind_s(self,who='',cred='',serverctrls=None,clientctrls=None):

/usr/lib64/python2.7/site-packages/ldap/ldapobject.pyc in _ldap_call(self, func, *args, **kwargs)
     97     try:
     98       try:
---> 99         result = func(*args,**kwargs)
    100         if __debug__ and self._trace_level>=2:
    101           if func.__name__!="unbind_ext":

SERVER_DOWN: {'info': 'TLS error -8157:Certificate extension not found.', 'desc': "Can't contact LDAP server"}



In [1]: import ldap

In [2]: l = ldap.initialize('ldaps://...:636')

In [3]: l.set_option(ldap.OPT_X_TLS_REQUIRE_CERT,ldap.OPT_X_TLS_ALLOW)

In [4]: l.set_option(ldap.OPT_X_TLS_CACERTFILE,"/etc/pki/ca-trust/source/anchors/cacert.pem")

In [5]: l.protocol_version = ldap.VERSION3

In [6]: l.set_option(ldap.OPT_REFERRALS, 0)

In [7]: l.simple_bind_s("...", "...")
---------------------------------------------------------------------------
SERVER_DOWN                               Traceback (most recent call last)
<ipython-input-7-a59dae8ba541> in <module>()
----> 1 l.simple_bind_s("...", "...")

/usr/lib64/python2.7/site-packages/ldap/ldapobject.pyc in simple_bind_s(self, who, cred, serverctrls, clientctrls)
    205     simple_bind_s([who='' [,cred='']]) -> None
    206     """
--> 207     msgid = self.simple_bind(who,cred,serverctrls,clientctrls)
    208     resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all=1,timeout=self.timeout)
    209     return resp_type, resp_data, resp_msgid, resp_ctrls

/usr/lib64/python2.7/site-packages/ldap/ldapobject.pyc in simple_bind(self, who, cred, serverctrls, clientctrls)
    199     simple_bind([who='' [,cred='']]) -> int
    200     """
--> 201     return self._ldap_call(self._l.simple_bind,who,cred,RequestControlTuples(serverctrls),RequestControlTuples(clientctrls))
    202 
    203   def simple_bind_s(self,who='',cred='',serverctrls=None,clientctrls=None):

/usr/lib64/python2.7/site-packages/ldap/ldapobject.pyc in _ldap_call(self, func, *args, **kwargs)
     97     try:
     98       try:
---> 99         result = func(*args,**kwargs)
    100         if __debug__ and self._trace_level>=2:
    101           if func.__name__!="unbind_ext":

SERVER_DOWN: {'info': "TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.", 'desc': "Can't contact LDAP server"}
4

2 に答える 2

4

私のマシンでは、python 2.6; /etc/openldap/ldap.confで設定されているにもかかわらず、 が使用され、一部のオプションよりも優先されることがわかりましたldap.set_option(..., ...)

ディストリビューションによっては、証明書/etc/openldap/cacerts/etc/openldap/certs

この種の問題をデバッグするための私のアプローチは次のとおりです。

1. システム全体に証明書をインストールする (openldap)

cp mycert.pem /etc/openldap/certs
cacertdir_rehash /etc/openldap/certs

2.システム全体にルート証明書をインストールします(オプション)

他の用途に同じルート証明書を使用する場合は、次のものが必要になる場合があります。

update-ca-trust enable
cp mycert.pem /etc/pki/ca-trust/source/anchors/
update-ca-trust extract
update-ca-trust check

3. 編集/etc/openldap/ldap.conf

構成ファイルを編集します。

# /etc/openldap/ldap.conf
base dc=example,dc=com
uri ldaps://ldap.example.com:636/
ssl yes
tls_cacertdir /etc/openldap/certs
pam_password md5

ldapsearch正常に動作したら停止します。

4. テストスクリプトを書く

例えばtest_ldap.py

#!/usr/bin/env python
import ldap, sys
LDAP_SERVER = 'ldaps://ldap.example.com:636'
LDAP_BASE = 'dc=example,dc=com'

try:
    conn = ldap.initialize(LDAP_SERVER)
except ldap.LDAPError, e:
    sys.stderr.write("Fatal Error.n")
    raise

# this may or may not raise an error, e.g. TLS error -8172
items = conn.search_s(LDAP_BASE, ldap.SCOPE_SUBTREE, attrlist=['dn'])

5.使用するstrace

上記のステップが失敗した場合は、strace を使用して何が起こっているかを確認できます。

strace -e open test_ldap.py
于 2015-05-13T17:28:49.757 に答える
4 
import ldap
import os
ldap.set_option(ldap.OPT_X_TLS_REQUIRE_CERT, ldap.OPT_X_TLS_NEVER)
l = ldap.initialize('ldaps://x.x.x.x:636')
l.set_option(ldap.OPT_REFERRALS, 0)
l.set_option(ldap.OPT_PROTOCOL_VERSION, 3)
l.set_option(ldap.OPT_X_TLS_CACERTFILE, os.getcwd()+"/cacert.pem")
l.set_option(ldap.OPT_X_TLS,ldap.OPT_X_TLS_DEMAND)
l.set_option(ldap.OPT_X_TLS_DEMAND, True)
l.set_option(ldap.OPT_DEBUG_LEVEL, 255)
#l.start_tls_s()
于 2015-03-25T12:30:20.223 に答える