SAMBA und Let's Encrypt

florian2833z · 8. September 2018

Hallo,

Ich habe mir jetzt einen Server gekauft, um dort einen Samba-Dienst laufen zu lassen. Allerdings bekomme ich TLS nicht zum laufen. Meine Einstellungen in der smb.conf sehen so aus:

Code

tls enabled  = yes
tls keyfile  = /var/lib/samba/private/tls/privkey.pem
tls certfile = /var/lib/samba/private/tls/cert.pem
tls cafile   = /var/lib/samba/private/tls/fullchain.pem

Code

openssl s_client -showcerts -connect localhost:636

endet in:

Code

root@dc1:~# openssl s_client -showcerts -connect localhost:636140149054719232:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:108:140149054719232:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:109:140149054719232:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:108:140149054719232:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:109:connect:errno=111root@dc1:~#

Mit den Zertifikaten, die Samba selbst generiert hat, klappt alles ... Was mache ich falsch? Das kann einen echt zum verzweifeln bringen ...

florian2833z · 8. September 2018

Mir zerschießts hier irgendwie immer die Zeilenumbrüche, also die Fehlermeldungen noch einmal:

Code

root@dc1:~# openssl s_client -showcerts -connect localhost:636
139732100379904:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:108:
139732100379904:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:109:
139732100379904:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:108:
139732100379904:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:109:
connect:errno=111
root@dc1:~#

H6G · 8. September 2018

Bist du dir sicher, dass er bei der Fullchain als CA nicht meckert?

Probiere mal die chain.pem oder das reine CA Zertifikat.

Horcht Samba auf dem Loopback-Interface?

florian2833z · 8. September 2018

So sieht's nun bei mir aus:

Code

tls enabled  = yes
        tls keyfile  = /etc/letsencrypt/live/ad.florian2833z.de/privkey.pem
        tls certfile = /etc/letsencrypt/live/ad.florian2833z.de/cert.pem
        tls cafile   = /etc/letsencrypt/live/ad.florian2833z.de/fullchain.pem

Die Dateien sind alle von Let's Encrypt und nicht verändert. Nach Änderung der Einstellung und Neustart des Dienstes kommt das hier raus:

Code

root@dc1:~# service samba-ad-dc restart
root@dc1:~# openssl s_client -showcerts -connect 188.68.35.39:636
140515364730112:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:108:
140515364730112:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:109:
connect:errno=111
root@dc1:~#

Ich verstehe nur nicht, was an den Zertifikaten nicht stimmen soll ...

Edit: Sau komisch, in Chrome zerschießts mir keine Zeilenumbrüche, nur in Firefox ...

florian2833z · 8. September 2018

Es lag daran, dass die Dateiberechtigungen der Zertifikate nicht 0600 waren.