Openssl 如何在使用.start\u tls\u s（）时强制Python LDAP验证/验证SSL证书

我一直在尝试在MacOS X 10.9.5和Python 2.7.9下使用（版本2.4.19）

我想在调用

.start\u tls\u s（）

后验证与给定LDAP服务器的连接（或者在无法验证证书时引发方法并执行异常）。（我也想检查CRL，但那是另一回事）

这是我的密码：

#!python
#!/usr/bin/env python
import ConfigParser, os, sys
import ldap

CACERTFILE='./ca_ldap.bad'
## CACERTFILE='./ca_ldap.crt'

config = ConfigParser.ConfigParser()
config.read(os.path.expanduser('~/.ssh/creds.ini'))
uid = config.get('LDAP', 'uid')
pwd = config.get('LDAP', 'pwd')
svr = config.get('LDAP', 'svr')
bdn = config.get('LDAP', 'bdn')

ld = ldap.initialize(svr)
ld.protocol_version=ldap.VERSION3
ld.set_option(ldap.OPT_DEBUG_LEVEL, 255 )
ld.set_option(ldap.OPT_PROTOCOL_VERSION, 3)
ld.set_option(ldap.OPT_X_TLS_CACERTFILE, CACERTFILE)
ld.set_option(ldap.OPT_X_TLS_DEMAND, True )
ld.set_option(ldap.OPT_X_TLS_REQUIRE_CERT, ldap.OPT_X_TLS_HARD)

## From: https://stackoverflow.com/a/7810308/149076
## and : http://python-ldap.cvs.sourceforge.net/viewvc/python-ldap/python-ldap/Demo/initialize.py?revision=1.14&view=markup

ld.start_tls_s()

for each in dir(ldap):
    if 'OPT_X_TLS' in each:
        try:
            print '\t*** %s: %s' % (each, ld.get_option((getattr(ldap, each))))
        except Exception, e:
            print >> sys.stderr, '... Except %s: %s\n' % (each, e)

ld.simple_bind_s(uid, pwd)
results = ld.search_s(bdn, ldap.SCOPE_SUBTREE)

print 'Found %s entries under %s' % (len(results), bdn)
sys.exit()

正如我在评论中所指出的，我从……中复制了大部分内容。。。虽然我已经尝试了很多的变化和序列

如图所示，我有两个文件，分别表示一个坏证书和一个应该工作的文件（它实际上是从我们的一个系统中获取的，该系统配置为运行（系统安全服务守护进程），假定该系统正在正确地检查这一点）

在“坏”副本中，我只是将每个密钥行的第一个字符替换为字母“x”，假设这会损坏CA密钥并导致任何试图验证签名链的代码失败

但是，Python LDAP代码似乎忽略了这一点；即使我将其设置为

/dev/null

或完全虚假的路径，我的代码仍然运行，仍然绑定到LDAP服务器，并且仍然完成搜索请求

所以问题是，我如何让它按预期“失败”（或者，更广泛地说，如何防止我的代码易受MITM（Mallory）攻击

如果在本次讨论中有任何影响，以下是我的OpenSSL版本：

$ openssl version
OpenSSL 0.9.8za 5 Jun 2014

LDAP服务器正在运行OpenLDAP，但我不知道有关其版本或配置的任何详细信息

下面是我的代码的示例输出：

    *** OPT_X_TLS: 0
    *** OPT_X_TLS_ALLOW: 0
    *** OPT_X_TLS_CACERTDIR: None
    *** OPT_X_TLS_CACERTFILE: /bogus/null
    *** OPT_X_TLS_CERTFILE: None
    *** OPT_X_TLS_CIPHER_SUITE: None
    *** OPT_X_TLS_CRLCHECK: 0
    *** OPT_X_TLS_CRLFILE: None
    *** OPT_X_TLS_CRL_ALL: 1
    *** OPT_X_TLS_CRL_NONE: {'info_version': 1, 'extensions': ('X_OPENLDAP', 'THREAD_SAFE', 'SESSION_THREAD_SAFE', 'OPERATION_THREAD_SAFE', 'X_OPENLDAP_THREAD_SAFE'), 'vendor_version': 20428, 'protocol_version': 3, 'vendor_name': 'OpenLDAP', 'api_version': 3001}
    *** OPT_X_TLS_CRL_PEER: 3
... Except OPT_X_TLS_CTX: unknown option 24577

    *** OPT_X_TLS_DEMAND: 1
    *** OPT_X_TLS_DHFILE: None
    *** OPT_X_TLS_HARD: 3
    *** OPT_X_TLS_KEYFILE: None
    *** OPT_X_TLS_NEVER: {'info_version': 1, 'extensions': ('X_OPENLDAP', 'THREAD_SAFE', 'SESSION_THREAD_SAFE', 'OPERATION_THREAD_SAFE', 'X_OPENLDAP_THREAD_SAFE'), 'vendor_version': 20428, 'protocol_version': 3, 'vendor_name': 'OpenLDAP', 'api_version': 3001}
... Except OPT_X_TLS_NEWCTX: unknown option 24591

    *** OPT_X_TLS_PACKAGE: OpenSSL
    *** OPT_X_TLS_PROTOCOL_MIN: 0
    *** OPT_X_TLS_RANDOM_FILE: None
    *** OPT_X_TLS_REQUIRE_CERT: 1
    *** OPT_X_TLS_TRY: 0

Found 883 entries under [... redacted ...]

---

你的代码对我来说就像预期的一样。事实上，当我第一次执行你的代码时，我遇到了完全相反的问题。它总是说“证书验证失败”。添加以下行修复了此问题：

# Force libldap to create a new SSL context (must be last TLS option!)
ld.set_option(ldap.OPT_X_TLS_NEWCTX, 0)

现在，当我使用错误的CA证书或您描述的已修改证书时，结果是以下错误消息：

Traceback (most recent call last):
  File "ldap_ssl.py", line 28, in <module>
    ld.start_tls_s()
  File "/Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/ldap/ldapobject.py", line 571, in start_tls_s
    return self._ldap_call(self._l.start_tls_s)
  File "/Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/ldap/ldapobject.py", line 106, in _ldap_call
    result = func(*args,**kwargs)
ldap.CONNECT_ERROR: {'info': 'error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate)', 'desc': 'Connect error'}

在Yosemite python上，使用pip安装ldap时会出现很多错误（请参阅），因此我必须下载tarball并编译/安装它，幸运的是这相当容易，因为我已经使用当前的libs/headers安装了OpenLDAP：

首先编辑setup.cfg中的[_ldap]部分，如下所示：

[_ldap]
library_dirs = /usr/local/opt/openldap/lib /usr/lib /usr/local/lib
include_dirs = /usr/local/opt/openldap/include /usr/include/sasl /usr/include /usr/local/include
extra_compile_args = -g -arch x86_64
extra_objects = 
libs = ldap_r lber sasl2 ssl crypto

有些头文件位于Mac OS SDK中，请将目录（根据您的版本更改路径）链接到/usr/include：

sudo ln -s /Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/MacOSX10.10.sdk/usr/include/ /usr/include

然后构建并安装：

python setup.py build
sudo python setup.py install

otool的输出显示python ldap现在链接到OpenLDAP 2.4.39和OpenSSL 0.9.8的库：

$ otool -L /Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/_ldap.so
/Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/_ldap.so:
    /usr/local/lib/libldap_r-2.4.2.dylib (compatibility version 13.0.0, current version 13.2.0)
    /usr/local/lib/liblber-2.4.2.dylib (compatibility version 13.0.0, current version 13.2.0)
    /usr/lib/libsasl2.2.dylib (compatibility version 3.0.0, current version 3.15.0)
    /usr/lib/libssl.0.9.8.dylib (compatibility version 0.9.8, current version 0.9.8)
    /usr/lib/libcrypto.0.9.8.dylib (compatibility version 0.9.8, current version 0.9.8)
    /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1213.0.0)

构建python ldap的另一种方法是仅安装构建所需的OpenLDAP库和头：

---

所有这些步骤在Mavericks下也应该可以使用，我认为使用最新的OpenLDAP和OpenSSL库可以解决您的问题。

“我也想检查CRL，但那是另一回事。”-注意这一点。由于CRL和OCSP响应程序丢失/损坏，您可能正在为自己设置DoS。Mozilla将其关闭了一段时间，因为它对用户体验有负面影响。装订响应可能是一种方式。在我的情况下，这将在提供自己的CA和管理的环境中工作这是他们自己的CRL。这都是内部的。我可能是坏消息的传递者……Python LDAP可以使用OpenSSL。但是通常用于证书处理的调用或遇到的调用都不存在。例如，我对

cd Python LDAP；grep-R-I ca_certs*；grep-R-I wrap_socket*；grep-R-I certs_reqs*

的命中率为0。您可能希望他们可能会说“代码将在与ldap服务器相同的安全边界中运行。因此我们使用证书进行保密，但我们不验证服务器或使用服务器身份验证，因为没有活动的MitM”。根据他们的网页，Python LDAP包装OpenLDAP（而不是直接包装OpenSSL）。据我所知，OpenLDAP客户端库可以通过环境变量进行配置，因此我希望此功能能够工作，即使Python LDAP没有特定的规定，或者即使它们存在但不起作用。如何返回错误消息是一个有趣的部分，但它不应该继续连接。我将测试saCLI中的me搜索和环境设置，例如使用

ldapsearch

man ldap.conf

显示预期环境变量的名称。在MacOS 10.9.5下的Mac上，我没有收到任何警告或故障。在CentOS 6.5下的Linux虚拟机上，最后我检查了一下，我得到了您在这里描述的行为（至少到了“它总是引发异常”的程度）。我将尝试使用

ld.set\u选项（ldap.OPT\u X\u TLS\u NEWCTX，0）

设置和调整一些我的

brew

库。（如上所述，我正在使用Python2.7.9；我的LDAP/OpenSSL要么是MacOS默认值，要么是公司加载的——我都没有弄糟。Omikron，到目前为止，你绝对是悬赏的领跑者。）我已经添加了otool的输出，似乎OpenSSL版本在这里并不重要，因为我的pythonlap链接到了0.9.8z，而不是1.0.1l。

$ otool -L /Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/_ldap.so
/Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/_ldap.so:
    /usr/local/lib/libldap_r-2.4.2.dylib (compatibility version 13.0.0, current version 13.2.0)
    /usr/local/lib/liblber-2.4.2.dylib (compatibility version 13.0.0, current version 13.2.0)
    /usr/lib/libsasl2.2.dylib (compatibility version 3.0.0, current version 3.15.0)
    /usr/lib/libssl.0.9.8.dylib (compatibility version 0.9.8, current version 0.9.8)
    /usr/lib/libcrypto.0.9.8.dylib (compatibility version 0.9.8, current version 0.9.8)
    /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1213.0.0)