LDAP over SSLのテストをしてみましたが - 秀丸メール情報交換会議室 - スレッド19795, 2004/09/07

LDAP over SSLのテストをしてみましたが

sakata2 さん　04/09/07 09:19

わざわざ要望に対処していただき真にありがとうございます。

鶴亀メール3.6.7beta4で
LDAP over SSLのテストをしてみました
LDAP over SSL のチェックをつけると
ポート番号が636に変わりました

実際に検索をしてみようとすると
間髪いれずに
「LDAP over SSLで接続できませんでした」
というダイアログが出てきます。
サーバ側のログを確認しても接続に来ている様子はありません

サーバは OpenLDAP 2.0.27
プライベートなROOT CAから発行された
サーバー証明書を使っていて
プライベートROOT CAの証明書は信頼されたルート認証局として
IEで取り込んであります。
このCAから発行された証明書でPOP3のSSLはうまくいっています。

LDAP over SSLのチェックを外せばうまく検索できています。
またWindowsのアドレス帳
Softerra LDAP Browser
といったソフトではSSLが有効な状態でうまく接続可能です。

RE:19795 LDAP over SSLのテストをしてみ

秀まるお2 さん　04/09/07 09:34

　僕の所では、Magic Winmail というメールサーバーソフトを使ってテストをし
たんですけど、それではうまくLDAP over SSLが使えてました。他はテストして
ません。

　その「LDAP over SSLで接続できませんでした。」というエラーは、LDAP over
SSLでの接続はしたけども、暗号化された状態になってなかったためにエラー扱
いにしてしまったということになるようです。とりあえずそういう場合には警告
メッセージを出しつつ処理を続行するように直してみます。

RE:19798 LDAP over SSLのテストをしてみ

sakata2 さん　04/09/07 10:57

お手数をおかけしています。

>　その「LDAP over SSLで接続できませんでした。」というエラーは、LDAP over
>SSLでの接続はしたけども、暗号化された状態になってなかったためにエラー扱
>いにしてしまったということになるようです。とりあえずそういう場合には警告
>メッセージを出しつつ処理を続行するように直してみます。

SSLの確立に失敗したにしてはエラーが出てくるのは早すぎる気がしています。

Etherealなどを使ってパケットをキャプチャしてみたりもしたのですが
どうもパケットが飛んでいる様子がありません。

RE:19801 LDAP over SSLのテストをしてみ

秀まるお2 さん　04/09/07 11:25

　サンプルプログラムは、

http://www.google.co.jp/search?q=ldap_sslinit+ldap_get_option

　で検索した一番上に出てくる、msdnの所なんですけど、一応、僕としてはそこ
に書いてある通りの処理をしてます。LDAP_OPT_SSLパラメータにて
ldap_get_optionを呼び出して返ってきた値が0の時に、今回のエラーメッセージ
を出してることになります。

> SSLの確立に失敗したにしてはエラーが出てくるのは早すぎる気がしています。

　僕もよく分からずにサンプルプログラムの通りやってるだけでして…。次のβ
5を早めにアップロードするので、それで試してみて欲しいです。それでダメだ
としたら、他に適当なサンプルプログラムを探すしか無いですが。

RE:19803 LDAP over SSLのテストをしてみ

sakata2 さん　04/09/07 18:18

>　サンプルプログラムは、
>
> http://www.google.co.jp/search?q=ldap_sslinit+ldap_get_option
>
>　で検索した一番上に出てくる、msdnの所なんですけど、一応、僕としてはそこ
>に書いてある通りの処理をしてます。LDAP_OPT_SSLパラメータにて
>ldap_get_optionを呼び出して返ってきた値が0の時に、今回のエラーメッセージ
>を出してることになります。

参考までに
ご紹介のあったページのサンプルをコンパイルしてこちらでも動かしてみました。

結果は以下のようなものでした

C:\>checkssl ldap.xxx.co.jp

Connecting to host "ldap.xxx.co.jp" ...
Setting Protocol version to 3.
Checking if SSL is enabled
SSL not enabled.
SSL being enabled...
ldap_connect succeeded
Binding ...

ERROR: 0x7

サーバー側のログを確認したところ
18:04:51 : daemon: conn=1539395 fd=24 connection from IP=10.0.0.5:44566 (IP
=:: 636) accepted.
18:04:51 : conn=1539395 op=0 SRCH base="" scope=0 filter="(objectClass=*)"
成功
18:04:51 : conn=1539395 op=1 SRCH base="" scope=0 filter="(objectClass=*)"
成功
18:04:51 : conn=1539395 op=2 BIND dn="" method=137
エラー=7 text=unknown authentication method
18:04:51 : conn=1539395 op=3 UNBIND
18:04:51 : conn=-1 fd=24 closed

というような感じでした

ベータ５でまたテストしてみます

RE:19815 LDAP over SSLのテストをしてみ

秀まるお2 さん　04/09/07 18:32

　わざわざテストいただいてありがとうございます。おかげさまで僕のミスがば
れてました。

　" SSL being enabled..."相当の処理が完全に抜けてました。そこを直します。

RE:19816 LDAP over SSLのテストをしてみ

sakata2 さん　04/09/08 09:16

V3.67β5でテストしてみました

うまくSSLでLDAPサーバから検索ができることを確認しました

以下はそのときのサーバ側のログです..
----------------------------------------
09:02:16 daemon: conn=1542148 fd=22 connection from IP=10.0.0.75:21997 (IP
=:: 636) accepted.
09:02:19 conn=1542148 op=0 BIND dn="UID=xxxxx,OU=xx,O=xx" method=128
成功
09:02:19 conn=1542148 op=1 SRCH base="o=xx" scope=2 filter="(mail=*sakata2*)"
成功
09:02:19 conn=1542148 op=2 UNBIND
09:02:19 conn=-1 fd=22 closed
----------------------------------------
これで安心してLDAPの検索を行うことが出来るようになります
対応どうもありがとうございました。

RE:19818 LDAP over SSLのテストをしてみ

秀まるお2 さん　04/09/08 09:47

　確認ありがとうございます。ちなみにまたバージョンアップしてV3.67β6にな
ってしまいましたので、またダウンロードお願いします。

RE:19821 LDAP over SSLのテストをしてみ

sakata2 さん　04/09/09 09:14

>　確認ありがとうございます。ちなみにまたバージョンアップしてV3.67β6にな
>ってしまいましたので、またダウンロードお願いします。

V3.67β6でもテストしてみました
もちろん問題ありませんでした

試しにプライベートCAの証明書を削除して実行したところ

LDAPサーバへのログインに失敗しました。エラーコード=81
がでました

正しく証明書を検証していることを確認できました。

V3.57の正式版リリースが楽しみです