Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 8541 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Proxy, AD Recipient Verification, LDAPS, failing

HiRN
Hi everyone!

I have a problem which I am not able to solve by myself. Maybe someone can help.

First of all, UTM Version is 9.005-16, with HTTP Proxy working with AD Authentication. The Domain Controllers are configured to require LDAP signing, the authentication servers UTM are configured to use LDAP over SSL (636). The HTTP Proxy Signing CA and the WebAdmin CA certificates are distributed over GPO on the Domain Controllers (Computer Certificates). HTTP Proxy works fine with these settings.

Now I configured the SMTP Proxy, using recipient verification through AD. But this doesn't work. In SMTP Proxy following message is logged when checking for the recipient:

Warning: ACL "warn" statement skipped: condition test deferred: failed to bind the LDAP connection to server w.x.y.z:636 - ldap_bind() returned -1 .

Corresponding i get on the Domain Controller w.x.y.z logged a Secure Channel Event 36887 (error number 48, TLS1_ALERT_UNKNOWN_CA).

Thinks working fine with SMTP Proxy when I configure authentication servers to use plain LDAP on 389 and the DCs accepting non signed LDAP queries.

So, does anyone else have the problem or better, anyone knows how to configure it right? I think my DCs miss a certificate signed by a CA used by the SMTP Proxy, but which?

Or maybe its a bug?


This thread was automatically locked due to age.
Parents
  • 0
    LDAP is not only for mail addresses, and mail servers had rules about this queries. Using the "callout" is recomended because exchange has not rules to let UTM query anything or not ?
  • 0 in reply to Ol Deda
    The recipient verification against AD queries LDAP servers in a Windows Domain. This is nothing unusual and not the problem at all. Problem is that something in the certificate chain is missing on our Domain Controllers when using LDAP over SSL. This works with HTTP-Proxy without problem, but fails with SMTP-Proxy although it uses the same mechanism.

    Problem is elevated to Astaro Support, I will report back as soon as I know something more.

    Administrating:

    • 2x UTM Software HA-Clusters (Active-Passive), Enthusiast Home Lab
    • 1x UTM525 HA-Cluster (Active-Passive), Full Guard, 6x AP15, 2x AP30, 40x RED10, 1x RED50
    • 1x SG230, Full Guard, 6x AP10, 1x AP15
    • 1x UTM220, Full Guard, 16x AP10
    • 1x UTM220, Full Guard
Reply
  • 0 in reply to Ol Deda
    The recipient verification against AD queries LDAP servers in a Windows Domain. This is nothing unusual and not the problem at all. Problem is that something in the certificate chain is missing on our Domain Controllers when using LDAP over SSL. This works with HTTP-Proxy without problem, but fails with SMTP-Proxy although it uses the same mechanism.

    Problem is elevated to Astaro Support, I will report back as soon as I know something more.

    Administrating:

    • 2x UTM Software HA-Clusters (Active-Passive), Enthusiast Home Lab
    • 1x UTM525 HA-Cluster (Active-Passive), Full Guard, 6x AP15, 2x AP30, 40x RED10, 1x RED50
    • 1x SG230, Full Guard, 6x AP10, 1x AP15
    • 1x UTM220, Full Guard, 16x AP10
    • 1x UTM220, Full Guard
Children
No Data
Unfiltered HTML