openldap – 在ldap-2.4中启用TLS后无法使用EXTERNAL身份验证

前端之家收集整理的这篇文章主要介绍了openldap – 在ldap-2.4中启用TLS后无法使用EXTERNAL身份验证前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我使用以下LDIF文件来激活LDAP服务器的TLS支持
dn: cn=config
changetype: modify
add: olcTLSCipherSuite
olcTLSCipherSuite: NORMAL 
-
add: olcTLSCRLCheck
olcTLSCRLCheck: none
-
add: olcTLSVerifyClient
olcTLSVerifyClient: never
-
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/CA.crt
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/server.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/key.pem

并使用以下LDIF强制客户端连接的TLS用法

dn: cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1

在此之后,我不能再使用“-Y EXTERNAL”来读取或修改配置架构.例如,如果我运行,我会收到SASL错误

$sudo ldapsearch -Q -Y EXTERNAL -H ldapi:/// -b "" -LLL -s base -Z supportedSASLMechanisms
ldap_sasl_interactive_bind_s: Authentication method not supported (7)
    additional info: SASL(-4): no mechanism available:

如果我检查支持的SASL机制:

$sudo ldapsearch -x -H ldapi:/// -b "" -LLL -s base -Z supportedSASLMechanisms
dn:
supportedSASLMechanisms: DIGEST-MD5
supportedSASLMechanisms: CRAM-MD5
supportedSASLMechanisms: NTLM
supportedSASLMechanisms: PLAIN
supportedSASLMechanisms: LOGIN

我真的看不到列表中包含的EXTERNAL.我在这里想念的是什么?

这是在Ubuntu-12.04和slapd-2.4.31上.

如果无法访问正在运行的配置,则必须停止slapd并离线编辑配置.

>停止slapd:服务slapd停止
>将配置数据库转储到文本文件:slapcat -F /etc/ldap/slapd.d -b cn = config -l config.ldif
>将现有的配置数据库移开:mv /etc/ldap/slapd.d{,.old}
>创建一个新的空配置数据库

mkdir /etc/ldap/slapd.d
chown –reference = / etc / ldap / slapd.d.old /etc/ldap/slapd.d
chmod –reference = / etc / ldap / slapd.d.old /etc/ldap/slapd.d
>编辑转储的config.ldif以删除olcSecurity设置(或将olcRootDN和olcRootPW添加到cn = config,或者您喜欢的任何其他更改)
>将已编辑的LDIF加载到新的空数据库中:slapadd -F /etc/ldap/slapd.d -b cn = config -l config.ldif

(以上假设您的配置位于/etc/ldap/slapd.d,这是Debian和Ubuntu中的默认配置.)

请注意,完整LDIF的slapadd应始终在空数据库中完成;因此,如果您犯了错误并且slapadd失败,请确保在再次尝试之前清除部分数据库.

您可以在the OpenLDAP Admin Guide以及相关手册页中找到更多信息.

猜你在找的Bash相关文章