Я пытаюсь аутентифицировать разные службы (в частности, openfire на данный момент) против Samba Active Directory над StartTLS (порт 389).
При настройке openfire я проверил эту опцию (Использовать StartTLS), но когда я проверяю соединение, я получаю эту ошибку:
[LDAP: error code 1 - 00002020: Operation unavailable without authentication]
Я должен сказать, что когда я пытаюсь подключиться через LDAPS (используя порт 636), все идет отлично. В любом случае ясно, что соединение без шифрования на 389 не будет работать с AD (когда я попробовал, openfire сказал мне, что я должен использовать уровень шифрования).
Может ли кто-нибудь помочь мне успешно подключиться через StartTLS?
Вот мой smb.conf
[global]
netbios name = S1
realm = NOURELDIN.LOCAL
workgroup = NOURELDIN
dns forwarder = 8.8.8.8
server role = active directory domain controller
idmap_ldb:use rfc2307 = yes
ldap ssl = start tls
[netlogon]
path = /usr/local/samba/var/locks/sysvol/noureldin.local/scripts
read only = No
[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No
пс. Я пробовал добавлять и удалять строку (ldap ssl = start tls) без разницы.
Я ценю любую помощь.
вам, вероятно, потребуется импортировать сертификат СА САБА ADS в систему openfire
Изменить: я установил samba4 в centos vm и настроил openfire для использования ldap с startls.
После установки samba4 из источников как указано в samba wiki (https://wiki.samba.org/index.php/Build_Samba_from_source, https://wiki.samba.org/index.php/Setup_a_Samba_Active_Directory_Domain_Controller), Я изменил каталог в контроллере домена samba на / usr / local / samba / private / tls
Внутри этой папки у вас есть три файла:
# pwd
/usr/local/samba/private/tls
[root@dc1 tls]# ls -l
total 12
-rw-r--r--. 1 root root 2025 Jun 20 21:29 ca.pem
-rw-r--r--. 1 root root 2029 Jun 20 21:29 cert.pem
-rw-------. 1 root root 3243 Jun 20 21:29 key.pem
Скопируйте содержимое ca.pem. Один из способов:
# cat ca.pem
Скопируйте все от ----- BEGIN CERTIFICATE ----- до ----- END CERTIFICATE -----
В консоли openfire перейдите к сертификатам TLS / SSL и щелкните по управлению содержимым хранилища доверенного хранилища хранилищ федерации серверов:
Нажмите «Импортировать из»:
и присвойте новому ЦС имя вроде 'my awesome samba4 domain' и вставьте содержимое ca.pem:
Убедитесь, что новый ЦС есть, его нужно добавить в список доверенных хранилищ:
проверьте в настройках сервера, что вы используете startls:
перезапустите openfire, войдите в систему как административный пользователь в веб-консоли. Чтобы убедиться, что вы используете starttls, вы можете использовать tcpdump.
Готово.