Назад | Перейти на главную страницу

TLS для ldap и сертификата

У меня есть httpd conf:

LoadModule  ldap_module  modules/mod_ldap.so
LoadModule  ssl_module   modules/mod_ssl.so

LDAPTrustedGlobalCert  CA_BASE64  /etc/openldap/certs/domenCA.crt

<VirtualHost *:80>
    ServerName      domen.lan
    ServerAlias     domen domen1
    DocumentRoot    /var/www/html

    <Directory  /var/www/html/private1>
        AuthName        "Members only site"
        AuthType        basic
        require         valid-user

        AuthBasicProvider ldap
        AuthLDAPUrl      "ldap://ldap.domen.lan/dc=domen,dc=lan"
#        AuthLDAPUrl      "ldap://ldap.domen.lan/dc=domen,dc=lan"   TLS
    </Directory>
</VirtualHost>

Когда я бегу дальше и ввожу учетные данные, все работает нормально:

elinks http://domen.lan/private1

затем я пробую TLS (то же самое, но TLS в конце строки):

#       AuthLDAPUrl      "ldap://ldap.domen.lan/dc=domen,dc=lan"
        AuthLDAPUrl      "ldap://ldap.domen.lan/dc=domen,dc=lan"   TLS

Страница не отображается, и я получаю сообщение об ошибке:

The server encountered an internal error or misconfiguration and was unable to complete your request.

в /var/log/httpd/access_log :

"GET /private1 HTTP/1.1" 401 381 "-" "ELinks/0.12pre6 (textmode; Linux; 111x64-2)"
"GET /private1 HTTP/1.1" 500 527 "-" "ELinks/0.12pre6 (textmode; Linux; 111x64-2)"

ничего в:

/var/log/messages
/var/log/httpd/error_log

когда я бегу

openssl s_client -connect domen.lan:389 -showcerts -state

Я получил:

CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
140597450172320:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 249 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

Я не знаю, как исправить эту ошибку.

у меня есть 

  centos 7.1

  openldap-2.4.39-6.el7.x86_64
  openldap-clients-2.4.39-6.el7.x86_64
  openldap-servers-2.4.39-6.el7.x86_64

  httpd-2.4.6-31.el7.centos.x86_64

Кажется, работает нормально, если у меня TLS_REQCERT allow в etc/openldap/ldap.conf но не если у меня есть TLS_REQCERT demand. Не могу понять, что происходит: 

TLS_CACERTDIR   /etc/openldap/certs
SASL_NOCANON    on
URI             ldap://centos7s.domen.lan
BASE            dc=domen,dc=lan
host            centos7s.domen.lan
#TLS_REQCERT    allow                    
TLS_REQCERT     demand
ssl             start_tls
TLS_CACERT      /etc/openldap/certs/domenCA.crt

Просто добавьте собственное решение в качестве ответа для удобства чтения:

Проблема заключалась в том, что я использовал другое имя сервера при создании сертификата, и теперь он не хотел принимать сертификат. Итак, когда я исправляю строку: AuthLDAPUrl "ldap://ldap.domen.lan/dc=domen,dc=lan" TLS с именем сервера в сертификате, это сработало!