У меня проблемы с запуском реплики LDAP с TLS, без TLS, все работает !! Провайдер и Потребитель идентичны
CentOS версии 6.5
rpm -qa | grep ldap
openldap-clients-2.4.23-34.el6_5.1.x86_64
openldap-2.4.23-34.el6_5.1.x86_64
apr-util-ldap-1.3.9-3.el6_0.1.x86_64
nss-pam-ldapd-0.7.5-18.2.el6_4.x86_64
mod_authz_ldap-0.26-16.el6.x86_64
pam_ldap-185-11.el6.x86_64
openldap-servers-2.4.23-34.el6_5.1.x86_64
Конфигурация провайдера, файл cn\=config.ldif
olcTLSCACertificateFile: /etc/openldap/certs/ldapscert.pem
olcTLSCertificateFile: /etc/openldap/certs/ldapscert.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/keys/ldapskey.pem
olcTLSCipherSuite: TLSv1+RSA:!EXPORT:!NULL
olcTLSVerifyClient: never
Потребительская конфигурация:
olcSyncrepl: {0}rid=000
provider=ldap://ldpsoc01devpom.sociale.it
starttls=yes
type=refreshonly
retry="5 5 300 +"
searchbase="dc=example,dc=it"
attrs="*,+"
bindmethod=simple
binddn="uid=xxxxxxxx,ou=admin_bind,ou=Utenze_Amministratori,dc=example,dc=it"
credentials=xxxxxxx
interval=60
и в /etc/openldap/ldap.conf
TLS_CACERT /etc/openldap/certs/ldapscert.pem
TLS_REQCERT never
сертификат самоподписанный
На ведомом устройстве, если я попробую следующую команду:
ldapsearch -ZZ -x -H ldap://ldpsoc01devpom -D 'uid=xxxxxxx,ou=admin_bind,ou=Utenze_Amministratori,dc=example,dc=it' -W 'objectclass=*' -v
все в порядке, но когда я пытаюсь использовать TLS в репликации, процесс идет не так. В журнале провайдера:
connection_get(16)
connection_get(16): got connid=1030
connection_read(16): checking for input on id=1030
connection_read(16): TLS accept failure error=-1 id=1030, closing
connection_closing: readying conn=1030 sd=16 for close
connection_close: conn=1030 sd=16
daemon: activity on 1 descriptor
daemon: activity on:
В журнале потребителей:
slapd[6508]: =>do_syncrepl rid=000
slap_client_connect: URI=ldap://ldpsoc01devpom.sociale.it Warning, ldap_start_tls failed (-11)
slap_client_connect: URI=ldap://ldpsoc01devpom.sociale.it DN="uid=bind_replica,ou=admin_bind,ou=utenze_amministratori,dc=sociale,dc=it" ldap_sasl_bind_s failed (-1)
do_syncrepl: rid=000 rc -1 retrying (3 retries left)
daemon: activity on 1 descriptor
daemon: activity on:
Каков ваш вариант использования репликации? Вы пытаетесь настроить другой фактический сервер аутентификации или пытаетесь синхронизировать клиентов и использовать локальный кеш? Если это последнее, вы можете исследовать SSSD.
Если это первое, вы можете прослушать соединение, чтобы увидеть, что на самом деле отправляется. Команда в Ubuntu (извините, я не очень разбираюсь в CentOS):
ssldump -i <desired interface, eth0 in my case>
Вы захотите запустить его на своем сервере. Это может дать вам дополнительную информацию или, по крайней мере, код ошибки, с которой можно работать. Если вам удастся заставить его работать, опубликуйте его здесь, и я посмотрю, чем я могу вам помочь (правда, я тоже новичок в LDAP).