Назад | Перейти на главную страницу

Аутентификация OpenFire против Samba Active Directory с использованием StartTLS

Я пытаюсь аутентифицировать разные службы (в частности, openfire на данный момент) против Samba Active Directory над StartTLS (порт 389).

При настройке openfire я проверил эту опцию (Использовать StartTLS), но когда я проверяю соединение, я получаю эту ошибку:

[LDAP: error code 1 - 00002020: Operation unavailable without authentication]

Я должен сказать, что когда я пытаюсь подключиться через LDAPS (используя порт 636), все идет отлично. В любом случае ясно, что соединение без шифрования на 389 не будет работать с AD (когда я попробовал, openfire сказал мне, что я должен использовать уровень шифрования).

Может ли кто-нибудь помочь мне успешно подключиться через StartTLS?

Вот мой smb.conf

[global]
        netbios name = S1
        realm = NOURELDIN.LOCAL
        workgroup = NOURELDIN
        dns forwarder = 8.8.8.8
        server role = active directory domain controller
        idmap_ldb:use rfc2307 = yes
        ldap ssl = start tls

[netlogon]
        path = /usr/local/samba/var/locks/sysvol/noureldin.local/scripts
        read only = No

[sysvol]
        path = /usr/local/samba/var/locks/sysvol
        read only = No

пс. Я пробовал добавлять и удалять строку (ldap ssl = start tls) без разницы.

Я ценю любую помощь.

вам, вероятно, потребуется импортировать сертификат СА САБА ADS в систему openfire

Изменить: я установил samba4 в centos vm и настроил openfire для использования ldap с startls.

После установки samba4 из источников как указано в samba wiki (https://wiki.samba.org/index.php/Build_Samba_from_source, https://wiki.samba.org/index.php/Setup_a_Samba_Active_Directory_Domain_Controller), Я изменил каталог в контроллере домена samba на / usr / local / samba / private / tls

Внутри этой папки у вас есть три файла:

# pwd
/usr/local/samba/private/tls
[root@dc1 tls]# ls -l
total 12
-rw-r--r--. 1 root root 2025 Jun 20 21:29 ca.pem
-rw-r--r--. 1 root root 2029 Jun 20 21:29 cert.pem
-rw-------. 1 root root 3243 Jun 20 21:29 key.pem

Скопируйте содержимое ca.pem. Один из способов:

# cat ca.pem 

Скопируйте все от ----- BEGIN CERTIFICATE ----- до ----- END CERTIFICATE -----

В консоли openfire перейдите к сертификатам TLS / SSL и щелкните по управлению содержимым хранилища доверенного хранилища хранилищ федерации серверов:

Нажмите «Импортировать из»:

и присвойте новому ЦС имя вроде 'my awesome samba4 domain' и вставьте содержимое ca.pem:

Убедитесь, что новый ЦС есть, его нужно добавить в список доверенных хранилищ:

проверьте в настройках сервера, что вы используете startls:

перезапустите openfire, войдите в систему как административный пользователь в веб-консоли. Чтобы убедиться, что вы используете starttls, вы можете использовать tcpdump.

Готово.