Я пытаюсь настроить ШИМ для моего сервера OpenLDAP в Ubuntu 16.04, но он не может подключиться к LDAP с ошибкой
Can not connect to remote server: 5059 ERROR_CERTIFICATE_ERROR (unable to read server certificates from host=ldap.example.com, port=389 error: Remote host closed connection during handshake)
Если я пытаюсь подключиться в незашифрованном виде, соединение кажется успешным, но настройка учетной записи для PWM не выполняется с помощью TLS confidentiality required, что сделано намеренно.
Аутентификация на клиентах и ldapsearch (с ключом -Z или -ZZ) работает.
Я импортировал файлы сертификатов клиентам и в Java на сервере, так как сертификат самоподписан с помощью openssl.
Я пытался подключиться к LDAP с помощью openssl s_client -connect ldap.example:389 -showcerts -state -tls1_2 для проверки сертификата, но соединение завершается без сообщений об ошибках и этого вывода:
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:unknown state
SSL_connect:failed in unknown state
140394455615128:error:1409E0E5:SSL routines:ssl3_write_bytes:ssl handshake failure:s3_pkt.c:656:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1484029284
Timeout : 7200 (sec)
Verify return code: 0 (ok)
---
При подключении к порту 443 выводится сертификат.
Честно говоря, я не знаю, что делать, поэтому любая помощь будет признательна.
389 \ TCP по умолчанию не является портом SSL LDAP. Порт 636 \ TCP обычно используется для LDAP SSL (ldaps).
На 389 \ TCP порт можно включить STARTTLS (ldapsearch с переключателем -Z или -ZZ используй это). Я не уверен, что OpenSSL s_client может реализовать STARTTLS для протокола LDAP.