Я установил сервер OpenLDAP с аутентификацией PAM против него. В открытом виде это работает очень хорошо, но когда я пытаюсь добавить SSL, это всегда терпит неудачу.
Я следую этому руководству, чтобы заставить его работать: http://kidrek.fr/blog/?p=30
Я делаю это в системе Debian lenny. В моих журналах я вижу: 9 сентября 17:00:48 Имя хоста slapd [3231]: connection_read (13): проверка ввода на id = 14
9 сентября 17:00:48 Имя хоста slapd [3231]: connection_read (13): невозможно получить DN клиента TLS, ошибка = 49 id = 14
9 сентября 17:00:48 Имя хоста slapd [3231]: connection_get (13): got connid = 14
9 сентября 17:00:48 Имя хоста slapd [3231]: connection_read (13): проверка ввода по id = 14
9 сентября 17:00:48 Имя хоста slapd [3231]: ber_get_next на fd 13 сбой errno = 0 (успех)
9 сентября 17:00:48 Имя хоста slapd [3231]: connection_closing: подготовка conn = 14 sd = 13 для закрытия
9 сентября 17:00:48 Имя хоста slapd [3231]: connection_close: conn = 14 sd = 13
На стороне клиента: 9 сентября 17:00:47 Идентификатор имени хоста: nss_ldap: не удалось выполнить поиск сервера LDAP - сервер недоступен
9 сентября 17:00:47 Идентификатор имени хоста: nss_ldap: не удалось подключиться к какому-либо серверу LDAP как cn = admin, dc = company, dc = local - невозможно связаться с сервером LDAP
9 сентября 17:00:47 Идентификатор имени хоста: nss_ldap: не удалось выполнить привязку к серверу LDAP ldaps: //brublunm13.company.local/: Невозможно связаться с сервером LDAP
9 сен 17:00:47 Идентификатор имени хоста: nss_ldap: переподключение к серверу LDAP ...
9 сентября 17:00:47 Идентификатор имени хоста: nss_ldap: не удалось подключиться к любому серверу LDAP как cn = admin, dc = company, dc = local - невозможно связаться с сервером LDAP
9 сентября 17:00:47 Идентификатор имени хоста: nss_ldap: не удалось выполнить привязку к серверу LDAP ldaps: //brublunm13.company.local/: Невозможно связаться с сервером LDAP
9 сентября 17:00:47 Идентификатор имени хоста: nss_ldap: повторное подключение к серверу LDAP (спящий 1 секунда) ...
9 сентября 17:00:48 Идентификатор имени хоста: nss_ldap: не удалось подключиться к какому-либо серверу LDAP как cn = admin, dc = company, dc = local - невозможно связаться с сервером LDAP 9 сентября 17:00:48 Идентификатор имени хоста: nss_ldap: не удалось подключиться к серверу LDAP ldaps: //brublunm13.company.local/: не удается связаться с сервером LDAP
9 сентября 17:00:48 Идентификатор имени хоста: nss_ldap: не удалось выполнить поиск на сервере LDAP - сервер недоступен
Также в моем slapd.conf я получил:
TLSVerifyClient никогда
Есть идеи по этому поводу?
Заранее спасибо,
Похоже, вы пытаетесь использовать SSL на стороне клиента вместо сервера; клиент идентифицирует себя с помощью сертификата, а не пароля.
Обратите внимание, что реализация OpenLDAP SSL довольно сложна - мне потребовалось довольно много времени, чтобы понять, что он читает свои сертификаты SSL ПОСЛЕ отбрасывания привилегий, поэтому SSL-сертификаты должны иметь разрешения на чтение для пользователя OpenLDAP ...
В настоящее время у меня есть SSL, работающий с OpenLDAP на RHEL - в моем slapd.conf у меня есть:
TLSCACertificateFile /etc/openldap/cacerts/cacert.pem
TLSCertificateFile /etc/openldap/cacerts/slapdcert.pem
TLSCertificateKeyFile /etc/openldap/cacerts/slapdkey.pem
Ты можешь использовать:
openssl s_client -connect localhost:636 -showcerts
чтобы проверить, что сертификат сервера установлен и работает правильно, и
ldapsearch -ZZ -x -D 'cn=manager,dc=domain,dc=com' -W 'objectclass=*' -v
чтобы убедиться, что TLS работает.
Я в основном ссылался http://www.openldap.org/faq/data/cache/185.html для генерации сертификатов и правильного набора разрешений.