Я получил OpenLDAP с SSL, работающий на тестовой коробке с подписанным сертификатом. Я могу использовать инструмент LDAP в окне Windows, чтобы просмотреть LDAP через SSL (порт 636). Но когда я бегу dpkg-reconfigure ldap-auth-config чтобы настроить мой локальный логин для использования ldaps, мой логин под именем пользователя в каталоге не работает. Если я изменю конфигурацию, чтобы использовать простой ldap (порт 389), он будет работать нормально (я могу войти в систему под именем пользователя в каталоге). При настройке ldaps я получаю сообщение Auth.log:
Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: reconnecting to LDAP server...
Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Я сделаю все необходимое. Я не уверен, что еще включить.
Я подозреваю, что вы используете «ldaps: // server /» для своего URI, когда вам нужно что-то вроде «ldaps: // server: 636 /».
Не указывая порт, он попробует TLS через порт 389.
sshd использует разделение привилегий и chroots. Это может плохо взаимодействовать с чем-то в стеке, необходимым для включения SSL и проверки сертификатов.
Попробуйте временно отключить PrivilegeSeparation; Бежать так - плохая идея, но если это решит проблему, тогда вы знаете, в какой области исследовать.
Что ж, это проблема TLS. Просто отключите проверку сертификата slapd на стороне клиента. TLS_ReqCert по умолчанию установлен на «требование» на клиенте; измените его на «никогда». Это заставляет вашего клиента доверять slapd и, в свою очередь, устанавливать соединение после рукопожатия tsl.
Привет. Хотя ваша система работает с портом 389, TLS все еще может работать, потому что openLDAP может шифровать данные и отправлять их через порт 389. Вы можете это проверить.