Как включить TLS в OpenLDAP
Я использую CentOS 5. У меня проблема с включением TLS (или ssl) на сервере OpenLDAP. Я следил за этим руководство. Я сгенерировал сертификаты и настроил путь в slapd.conf как следующее
TLSCertificateFile /path/to/server-certificate.pem
TLSCertificateKeyFile /path/to/private-key.pem
TLSCACertificateFile /path/to/CA-certificates
Я использовал команду
slapd -h "ldap:/// ldaps:///"
чтобы включить прослушиватель на порту 636.
Я не могу подключиться к ldaps://myhost:636 (Пытался создать соединение с клиентом и liferay ldap)
У меня не будет проблем, если я не использую TLS.
Я пропустил здесь некоторые шаги по настройке?
редактировать
используя команду:
openssl s_client -connect host:port
Я получаю
Скорее всего, у вас проблема с сертификатом CA. Вы можете проверить соединение TLS из сервера, используя:
$ ldapwhoami -H ldap:// -x -ZZ
anonymous
Проверьте свои /etc/ldap/ldap.conf для этой строки:
TLS_CACERT /etc/ssl/certs/ca_server.pem
Лучший способ изменить конфигурацию LDAP - это создать addcerts.ldif со следующим содержанием:
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key
и применить изменение:
ldapmodify -H ldapi:// -Y EXTERNAL -f addcerts.ldif
Наконец проверьте /etc/default/slapd и убедитесь, что услуги содержат ldaps:///:
SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"
После просто перезагрузите slapd service и проверьте подключение к LDAP с помощью первой команды.