<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:Courier New,courier,monaco,monospace,sans-serif;font-size:12pt"><div>I got it.  I got it working with SSL.  Good enough.   This is what is needed to get it to work.<br><br>ssl on<br>tls_cacertfile /etc/pki/tls/certs/cacert.org-root.txt<br>uri ldaps://rhds.example.com:636/<br><br>I removed the cacert from the ca-bundle.crt file.<br><br></div><div style="font-family: Courier New,courier,monaco,monospace,sans-serif; font-size: 12pt;"><br><div style="font-family: arial,helvetica,sans-serif; font-size: 13px;"><font size="2" face="Tahoma"><hr size="1"><b><span style="font-weight: bold;">From:</span></b> Rich Megginson <rmeggins@redhat.com><br><b><span style="font-weight: bold;">To:</span></b> General discussion list for the 389 Directory server project. <fedora-directory-users@redhat.com><br><b><span style="font-weight:
 bold;">Sent:</span></b> Wednesday, June 24, 2009 2:48:43 PM<br><b><span style="font-weight: bold;">Subject:</span></b> Re: [389-users] Trouble using self signed certificates.<br></font><br>
John A. Sullivan III wrote:<br>> On Wed, 2009-06-24 at 18:55 +0200, Jean-Noel Chardron wrote:<br>>   <br>>> Dumbo Q a écrit :<br>>>     <br>>>> I've managed to get past the the strangely obscure method of installing an SSL certificate, and from the server side everything appears to be OK. Actually its a "CACert" certificate, rather then self signed. Using Jxplorer, I can connect the the DS using SSL, accept the certificate, and I'm all set.<br>>>> <br>>>> However, I am having a ton of trouble figuring out how to use an untrusted ca for my linux user authentication. I changed /etc/ldap.conf to use ldaps://, and it attemtps to connect as expected. I think this would work, if I could figure out how to tell it to accept the certificate. I get the following error message in DS after running getent passwd.<br>>>> <br>>>> [24/Jun/2009:12:24:02 -0400] conn=3 op=-1 fd=66 closed - Peer
 does not recognize and trust the CA that issued your certificate.<br>>>> [24/Jun/2009:12:24:02 -0400] conn=4 op=-1 fd=67 closed - Peer does not recognize and trust the CA that issued your certificate.<br>>>> <br>>>> <br>>>> Any thoughts?<br>>>> <br>>>>       <br>>> I think you have to use the directive TLS_CACERT or TLS_CACERT_DIR in /etc/ldap.conf<br>>> man ldap.conf :<br>>> TLS_CACERT <filename><br>>> Specifies the file that contains certificates for all of<br>>> the Certificate Authorities the client will recognize.<br>>> <br>>> TLS_CACERTDIR <path><br>>> Specifies the path of a directory that contains Certifi‐<br>>> cate Authority certificates in separate individual files.<br>>> The TLS_CACERT is always used before TLS_CACERTDIR. This<br>>> parameter is ignored with GNUtls.<br>>>
 <br>>>     <br>>>> <snip><br>>>>       <br>> I think these may be the wrong variables.  If I recall correctly, those<br>> variables are for /etc/openldap/ldap.conf and control openldap (and<br>> openldap related queries).  pam uses /etc/ldap.conf.<br>do "man nss_ldap" to see the configuration variables for /etc/ldap.conf - they are similar enough to /etc/openldap/ldap.conf to cause confusion.<br>> I believe the<br>> variables are set like this:<br>> <br>> ssl start_tls<br>> tls_checkpeer yes<br>> tls_cacertfile /usr/share/ca-certificates/CA.pem<br>> <br>> or whatever the path happens to be.  Again, I'm not an expert - just<br>> sharing what we did that worked - John<br>>   <br><br><br></div></div></div><br>



      </body></html>