Hi Gregor,
Moin,
ich habe jetzt mal ein Zertifikat erzeugt und eingefügt, samba scheint es auch akzeptiert zu haben.
Ein ‘openssl s_client -showcerts -connect 172.22.234.33:636’ zeigt mir zumindest das Zertifikat an.
Im egroupware Setup habe ich tls eingestellt, auch mal das Admin Konto des ADControlers eingefügt.
Es kommt immer noch die Meldung beim Passwortändern, das TLS oder SSL aktiviert werden muss,…
Dann ist es wohl nicht aktiviert …
Grundsätzlich kann ich sagen, dass Passwort ändern funktioniert, wenn in
Windows oder Samba4 SSL oder TLS aktiviert ist.
Wir haben ein paar Kunden die Samba4 oder Window mit EGroupware
einsetzen und ADS voll verwenden, sprich nicht nur dagegen
authentifizieren sondern auch die Accounts dort speichern und von
EGroupware aus pflegen. Dafür müssen allerdings die account_id’s in der
EGroupware den SIDs angepasst werden.
Im Setup steht etwas davon, das der Webserver konfiguriert werden muss, gibt es da noch unerledigte Aufgaben?
Prinzipiell get LDAPS oder STARTTLS über LDAP bei standard PHP
Installation immer schief, da PHP/LDAP versucht das Zertifikat zu
überprüfen, aber keine gültigen Rootzertifikate konfiguriert hat (soll
sich jetzt mit PHP 5.6 ändern). Bis dahin ist der einzige einfache /aber
natürlich nicht sichere!) Weg die Überprüfung zu deaktivieren in der
/etc/openldap/ldap.conf folgendes hinzufügen:
TLS_REQCERT never
Im Prinzip ist das ganze Thema EGroupware mit AD über Samba4 oder
Windows Domain Controller nicht unkompliziert und ich glaube nicht, dass
wir (Stylite AG) das ohne Support Kontrakt über die Listen supporten wollen.
Ralf
–
Ralf Becker
Director Software Development
Stylite AG
Morschheimer Strasse 15 | Tel. +49 6352 70629 0
D-67292 Kirchheimbolanden | Fax. +49 6352 70629 30
Email: rb@stylite.de
www.stylite.de | www.egroupware.org
Managing Directors: Andre Keller | Ralf Becker | Gudrun Mueller
Chairman of the supervisory board: Prof. Dr. Birger Leon Kropshofer
VAT DE214280951 | Registered HRB 31158 Kaiserslautern Germany