Я загрузил экземпляр TurnKey Linux OpenLDAP vm. Теперь он работает в vm. Я использую это для аутентификации учетной записи пользователя по сети. Клиентская машина - это стандартная машина CentOS 7. Все на обеих машинах реализовано OpenLDAP и OpenSSL.
Конфигурация всего серверного AFAIK кажется правильной прямо из коробки (что является всей концепцией дистрибутивов TurnKey Linux). Я могу получить доступ к его интерфейсу веб-администратора по сети, вроде все в порядке, за исключением того факта, что я не могу пройти аутентификацию с клиентской машины.
Я считаю, что у меня все правильно настроено на клиентской машине, за исключением одного факта: данные SSL на клиенте не настроены должным образом, и я не очень разбираюсь в этом. Я хочу использовать свою собственную сертификацию и свои полномочия
Пытаясь su username с клиентской машины заставляет оболочку зависать на несколько секунд (как будто она чего-то ждет). Затем аутентификация пользователя не выполняется, а не сразу же завершается, когда я набираю бессмысленного пользователя.
Проведя расследование, я обнаружил в своем системном журнале следующие записи:
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> ldap_start_tls_s() failed (uri=ldap://192.168.254.104): Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> failed to bind to LDAP server ldap://192.168.254.104: Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> no available LDAP server found: Connect error
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> no available LDAP server found: Server is unavailable
Как сделать эмитент сертификата "доверенным" на клиентской машине? Какие шаги мне нужно предпринять для этого? Я полный новичок с SSL и, честно говоря, прочитав кучу вещей в Интернете, я все еще не понимаю, как исправить ситуацию.
Вам необходимо добавить файл сертификата в надежное хранилище сертификатов. На данный момент у меня нет виртуальной машины CentOS, но, насколько я помню, она использует обычный каталог, содержащий текстовые сертификаты X509 с .crt расширение файла.
Скорее всего, где-то под /etc/ssl. Просто просмотрите там или используйте find пока вы не найдете, где находятся все остальные доверенные сертификаты. Их должно быть довольно много. Если у вас есть сертификат, просто скопируйте его в это место и убедитесь, что разрешения такие же, как у других доверенных сертификатов.