Hi,<br /><br />what kind of certificate do you use, selfsigned? Are the certificates signed by the same CA?<br /><br /><br /><br /><span>Am 18.07.12, schrieb <b class="name">David Nguyen </b> &lt;d_k_nguyen@yahoo.com&gt;:</span><blockquote cite="mid:CAG9QJT48_miz2udTAWBRZzYwjMFeS7yxLejUisi70M3N3V95tg@mail.gmail.com" class="iwcQuote" style="border-left: 1px solid rgb(0, 0, 255); padding-left: 13px; margin-left: 0px;" type="cite"><div class="mimepart text plain">Hi all,<br /><br />I have a strange one.  My current setup is working perfectly.  client1<br />is able to connect to ldap-server1 via SSL and everything is working<br />correctly. I then had a need to add another ldap server (ldap-server2)<br />as a multi-master replica and everything is working (user auth, sudo<br />via ldap users, ldapsearch, openssl, etc) except cronjobs for users<br />served out of ldap fail to run.<br /><br />I can see this in the error log on ldap-server2:<br /><br />[18/Jul/2012:11:18:00 -0700] - PR_Recv for connection 467 returns<br />-12195 (Peer does not recognize and trust the CA that issued your<br />certificate.)<br /><br />If I set /etc/ldap.conf to not use SSL (URI ldap://fqdn vs URI<br />ldaps://fqdn:636), the cronjobs fire just fine.<br /><br />So it appears as though there is an SSL cert issue, but I'm stumped<br />because all of the other services that use ldap on client1 work except<br />cron jobs (root cron fires fine as expected since nsswitch is set to<br />files then ldap).<br /><br />If I replace the URI string in /etc/ldap.conf to point at<br />ldap-server1, cron starts working.<br /><br />Both ldap-server1 and ldap-server2 are using running the same OS and<br />kernel version (RHEL5) as well as the same version of 389 DS<br />(389-ds-1.2.1-1.el5).<br /><br />Any ideas as to what could be causing this problem?   Here is the<br />/etc/ldap.conf on client1 if it matters:<br /><br />====== begin /etc/ldap.conf =======<br />URI ldaps://ops-ldap006.svale.netledger.com:636<br />base dc=netsuite,dc=com<br /><br />timelimit 10<br />bind_policy soft<br />nss_reconnect_tries 3<br />bind_timelimit 6<br />idle_timelimit 30<br />sudoers_base   ou=SUDOers,dc=netsuite,dc=com<br />sudoers_debug 0<br /><br />##ssl start_tls<br />TLS_CACERT      /etc/openldap/cacerts/ca.crt<br />TLS_CACERTFILE  /etc/openldap/cacerts/ca.crt<br />TLS_REQCERT     demand<br />pam_lookup_policy yes<br />pam_password exop<br /><br />nss_initgroups_ignoreusers root,named,avahi,haldaemon,dbus,gdm,postfix,puppet<br /><br />====== end /etc/ldap.conf =======<br /><br /><br /><br /><br />Thanks in advance,<br />David<br />--<br />389 users mailing list<br />389-users@lists.fedoraproject.org<br /><a href="https://admin.fedoraproject.org/mailman/listinfo/389-users" target="l">https://admin.fedoraproject.org/mailman/listinfo/389-users</a></div></blockquote>--<br signature="separator" />Carsten Grzemba<br />