OpenLDAP - 为 LDAP TLS 连接启用 CRL 检查

【问题标题】:OpenLDAP - Enabling CRL check for LDAP TLS connectionsOpenLDAP - 为 LDAP TLS 连接启用 CRL 检查
【发布时间】:2017-06-07 09:43:44
【问题描述】:

我有一个使用 TLS 连接到 LDAP 服务器的客户端。对于此连接,我想启用 CRL 检查并仅在任何服务器/客户端证书被吊销时才拒绝连接。 在特殊情况下(如 CRL 丢失、CRL 过期)我想忽略错误并建立连接。 所以我想覆盖默认的 SSL 验证回调以忽略特定的错误。

但是根本不调用回调。始终只调用默认回调。

这是我的回电:

static int verify_callback(int ok, X509_STORE_CTX *ctx)
{
    X509* cert = X509_STORE_CTX_get_current_cert(ctx);
    if (ok)
        return ok;

    int sslRet = X509_STORE_CTX_get_error(ctx);
    const char* err = NULL;
    switch (sslRet)
    {
        case X509_V_ERR_UNABLE_TO_GET_CRL:
        case X509_V_ERR_CRL_HAS_EXPIRED:
        case X509_V_ERR_CRL_NOT_YET_VALID:
             printf( "CRL: Verification failed... but ignored : %d\n", sslRet);
              return 1;
        default:
            err = X509_verify_cert_error_string(sslRet);
            if (err)
                printf( "CRL: Failed to verify : %s\n",err);
            return 0;
    }
    return sslRet;
}

使用 ldap 回调集选项覆盖默认验证回调:

void ldap_tls_cb(LDAP * ld, SSL * ssl, SSL_CTX * ctx, void * arg)
{
    SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER , verify_callback);
    printf("verify call back is set...\n");
    return;
}

主程序:

int main( int argc, char **argv )
{

    LDAP *ldap;
    int  auth_method    = LDAP_AUTH_SIMPLE; //LDAP_AUTH_SASL
    int  ldap_version   = LDAP_VERSION3;
    char *ldap_host     = "10.104.40.35";
    int   ldap_port     = 389;

    if ( (ldap = ldap_init(ldap_host, ldap_port)) == NULL ) {
        perror( "ldap_init failed" );
        return( EXIT_FAILURE );
    }

    int result = ldap_set_option(ldap, LDAP_OPT_PROTOCOL_VERSION, &ldap_version);
    if (result != LDAP_OPT_SUCCESS ) {
        ldap_perror(ldap, "ldap_set_option failed!");
        return(EXIT_FAILURE);
    }

    int requireCert = LDAP_OPT_X_TLS_DEMAND;
    result = ldap_set_option(NULL, LDAP_OPT_X_TLS_REQUIRE_CERT, &requireCert);
    if (result != LDAP_OPT_SUCCESS ) {
        ldap_perror(ldap, "ldap_set_option - req cert -failed!");
        return(EXIT_FAILURE);
    }

    result = ldap_set_option(NULL, LDAP_OPT_X_TLS_CACERTFILE, "/etc/certs/Cert.pem");
    if (result != LDAP_OPT_SUCCESS ) {
        ldap_perror(ldap, "ldap_set_option - cert file - failed!");
        return(EXIT_FAILURE);
    }

    int crlvalue = LDAP_OPT_X_TLS_CRL_ALL;
    result =ldap_set_option(NULL, LDAP_OPT_X_TLS_CRLCHECK, &crlvalue);
    if (result != LDAP_OPT_SUCCESS ) {
        ldap_perror(ldap, "ldap_set_option failed!");
        return(EXIT_FAILURE);
    }

    int debug = 7;
    ldap_set_option(NULL, LDAP_OPT_DEBUG_LEVEL, &debug);

    result = ldap_set_option(ldap, LDAP_OPT_X_TLS_CONNECT_CB, (void *)ldap_tls_cb);
    if (result != LDAP_SUCCESS) {
        fprintf(stderr, "ldap_set_option(LDAP_OPT_X_TLS_CONNECT_CB): %s\n", ldap_err2string(result));
        return(1);
    }

    int msgidp = 0;
    result = ldap_start_tls(ldap,NULL,NULL,&msgidp);
    if (result != LDAP_OPT_SUCCESS ) {
        ldap_perror(ldap, "start tls failed!");
        return result;
    } else {
        printf("Start tls success.\n");
    }

    LDAPMessage     *resultm;
    struct timeval  timeout;
    result = ldap_result(ldap, msgidp, 0, &timeout, &resultm );
    if ( result == -1 || result == 0 ) {
        printf("ldap_result failed;retC=%d \n", result);
        return result;
    }

    result = ldap_parse_extended_result(ldap, resultm, NULL, NULL, 0 );
    if ( result == LDAP_SUCCESS ) {
        result = ldap_install_tls (ldap);
        printf("installing tls... %s\n", ldap_err2string(result));
    }

    int request_id = 0;
    result = ldap_sasl_bind(ldap, "", LDAP_SASL_SIMPLE, NULL, 0, 0, &request_id);

    if ( result != LDAP_SUCCESS ) {
        fprintf(stderr, "ldap_x_bind_s: %s\n", ldap_err2string(result));
        printf("LDAP bind error .. %d\n", result);
        return(EXIT_FAILURE);
    } else {
        printf("LDAP connection successful.\n");
    }

    ldap_unbind(ldap);
    return(EXIT_SUCCESS);
}

有人可以帮忙检查为什么我的验证回调没有被调用吗?

【问题讨论】:

    标签: ssl openssl ldap openldap tls1.2


    【解决方案1】:

    我认为你需要直接在SSL对象上设置回调而不是上下文,所以

    void ldap_tls_cb(LDAP * ld, SSL * ssl, SSL_CTX * ctx, void * arg)
{
    SSL_set_verify(ssl, SSL_VERIFY_PEER, verify_callback);
    printf("verify call back is set...\n");
    return;
}

    原因是 SSL 句柄在调用连接回调时已经初始化(请参阅the OpenLDAP code),并且 那时是too late to set this callback through the context

    如果之前没有设置特殊回调,则使用底层 ctx 的默认回调,该回调在使用 SSL_new(3) 创建 ssl 时有效。

    OpenLDAP 可以使用 GnuTLS 构建,因此您可能需要在设置回调之前检查它是否使用 OpenSSL。 LDAP_OPT_X_TLS_PACKAGE 选项可用于此(请注意,我尚未测试此代码):

    char* package = NULL;
int result = ldap_get_option(NULL, LDAP_OPT_X_TLS_PACKAGE, (void *)&package);
if (result != LDAP_OPT_SUCCESS) {
    ldap_perror(ldap, "ldap_get_option failed!");
    return(EXIT_FAILURE);
} else {
    if (strcmp(package, "OpenSSL") == 0) {
        // Set your callback
    }
    ldap_memfree(package);
}

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2019-02-25
      • 2018-07-27
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode