У меня есть 2 сервера Ubuntu linux 14.04 с Samba4 на них. Один - это мастер AD, другой - резервная копия AD.
До обновления Samba 3.8.4 мои серверы Postfix + Dovecot могли выполнять поиск пользователей и аутентификацию. Теперь они не могут.
постфикс говорит
warning: dict_ldap_connect: Unable to bind to server [redacted] (Strong(er) authentication required)
голубятня говорит
auth: Error: LDAP: ldap_start_tls_s() failed: Can't contact LDAP server
TLS включен в конфигурации Dovecot. Кажется, проблема с самозаверяющим сертификатом в настройке Samba AD.
ldapserch ... -Z дает
ldap_start_tls: Connect error (-11)
additional info: (unknown error code)
ldap_result: Can't contact LDAP server (-1)
openssl s_client -connect [ip и порт сервера AD] -showcerts действительно передает мне сертификат, как и ожидалось.
...
Server certificate
subject=/O=Samba Administration/OU=Samba - temporary autogenerated certificate/CN=DC-01.[redacted]
issuer=/O=Samba Administration/OU=Samba - temporary autogenerated certificate/CN=DC-01.[redacted]
---
Acceptable client certificate CA names
/O=Samba Administration/OU=Samba - temporary autogenerated certificate/CN=DC-01.[redacted]
/O=Samba Administration/OU=Samba - temporary autogenerated certificate/CN=DC-01.[redacted]
....
Verify return code: 18 (self signed certificate)
....
Смотря на : https://access.redhat.com/articles/2243351 Я попытался :
tls verify peer = no_check
ldap server require strong auth = no
Это успешно разрешает зацикливание LDAP в виде обычного текста на порту 389. (редактировать из предыдущего)
Части сертификата Ubuntu 14.04 находятся в: https://wiki.samba.org/index.php/Configuring_LDAP_over_SSL_%28LDAPS%29_on_a_Samba_AD_DC
Я пробовал импортировать файл CA.pem с контроллера домена на почтовый сервер, но, похоже, это не решает проблемы с подключением dovecot или postfix к TLS LDAP.