Я пытаюсь настроить TLS на своем сервере LDAP. У меня есть два компьютера, один с сервером LDAP, а другой с общим ресурсом NFS, содержащим сертификаты, созданные Let's Encrypt.
Я хочу, чтобы первый мог читать сертификаты в монтировании NFS. Я следил за учебником в вики Debian: Вот
Когда я делаю sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ldap/olcTLS.ldif Я получил :
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
По-видимому, это проблема с разрешением, как видно Вот
Вот содержимое файла конфигурации:
dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /mnt/certs/chain.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /mnt/certs/privkey.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /mnt/certs/cert.pem
Поэтому я установил группу общего каталога NFS на ssl-cert и добавил для него разрешение на чтение. (Все подкаталоги имеют полное разрешение на чтение для всех). Затем на сервере LDAP я добавил openldap пользователь к ssl-cert группа. (Гид ssl-cert одинаково в обеих системах).
Я побежал sudo -u openldap -g ssl-cert ls -l /mnt/certs и это сработало. В openldap пользователь может читать файлы в монтировании NFS. Так что, может быть, это все-таки не вопрос разрешения ... как вы думаете?
Вчера это не сработало бы, потому что были ошибки в путях, а также давайте зашифровать, используя символические ссылки, поэтому другая система не могла получить доступ к файлам ... Я исправил это, но это тоже не сработало, поэтому я попытался уменьшить Допустимая погрешность, просто скопировав сертификаты на LDAP-сервер напрямую, в / tmp, и он по-прежнему не работает. Я получаю ту же ошибку.