У меня возникли проблемы с добавлением второго LDAP-сервера в конфигурацию клиента. Если я настрою клиент использовать только один из них, он будет работать нормально. Так что я уверен, что оба сертификата CA работают.
Я пробовал использовать параметр TLS_CACERT в обоих /etc/pam_ldap.conf и /etc/openldap/ldap.conf, но это не работает. Я получаю эту ошибку, когда выполняю ldapsearch.
Это то, что я сейчас настроил.
uri ldaps://ldap.abc.com:636/
ssl no
tls_cacertdir /etc/openldap/cacerts
pam_password md5
Сертификат CA в /etc/openldap/cacerts был хеширован с помощью openssl. Я также попытался добавить вторую хеш-символьную ссылку с .1 в конце, но не повезло.
Мне удалось решить эту проблему, добавив классический балансировщик нагрузки над обоими серверами LDAP и отключив SSL для самого CLB.
Если вы используете несколько серверов ldap, подпишите сертификат для всех серверов LDAP одним и тем же cacert. Таким образом, вам нужно будет раздать только один файл cacert.