我根本无法得到这个(与openldap的TLS连接)工作,并希望得到一些帮助.
我在ubuntu 10.04 LTS上有一个工作的openldap服务器,它配置为使用cn = config,我可以找到的大部分信息用于TLS似乎使用较旧的slapd.conf文件:-(
我一直在遵循这里的指示https://help.ubuntu.com/10.04/serverguide/C/openldap-server.html加上我在这里和其他地方读到的东西 – 这当然可能是问题的一部分,因为我还没有完全理解这一切!
我创建了一个ssl.ldif文件,如下所示;
dn:cn=config add: olcTLSCipherSuite olcTLSCipherSuite: TLSV1+RSA:!NULL add: olcTLSCRLCheck olcTLSCRLCheck: none add: olcTLSVerifyClient olcTLSVerifyClient: never add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/ldap_cacert.pem add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/my.domain.com_slapd_cert.pem add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/my.domain.com_slapd_key.pem
然后我使用以下命令行导入它
ldapmodify -x -D cn=admin,dc=mydomain,dc=com -W -f ssl.ldif
我编辑了/ etc / default / slapd,以便它具有以下服务行;
SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"
每当我进行更改时,我都会使用/etc/init.d/slapd restart重新启动slapd
测试非TLS连接的以下命令行工作正常;
ldapsearch -d 9 -D cn=admin,dc=com -w mypassword \ -b dc=mydomain,dc=com -H "ldap://mydomain.com" "cn=roger*"
但是当我使用这个命令行切换到ldaps时;
ldapsearch -d 9 -D cn=admin,dc=com -H "ldaps://mydomain.com" "cn=roger*"
这就是我得到的;
ldap_url_parse_ext(ldaps://mydomain.com) ldap_create ldap_url_parse_ext(ldaps://mydomain.com:636/??base) ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP mydomain.com:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 127.0.0.1:636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 TLS: can't connect: A TLS packet with unexpected length was received.. ldap_err2string ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
现在如果我检查netstat -al我可以看到;
tcp 0 0 *:www *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 *:https *:* LISTEN tcp 0 0 *:ldaps *:* LISTEN tcp 0 0 *:ldap *:* LISTEN
我不确定这是否也很重要……我怀疑它是;
openssl s_client -connect mydomain.com:636 -showcerts CONNECTED(00000003) 916:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:
我想我已经把我所有的证书等等了,这是一些检查的结果;
如果我这样做;
certtool -e --infile /etc/ssl/certs/ldap_cacert.pem
我得到链验证输出:已验证.
certtool -e --infile /etc/ssl/certs/mydomain.com_slapd_cert.pem
给“certtool:最后一个证书不是自签名的”,但它看起来不错?
我哪里出错了?当然,让openldap在ubuntu上安全运行应该很容易,并且不需要获得火箭科学的学位!
有任何想法吗?
解决方法
似乎我的ssl.ldif文件的语法不正确.在线跟踪不同的指南后,我将其更改为此(以及重新生成的自签名证书).
dn: cn=config changetype: modify add: olcTLSCipherSuite olcTLSCipherSuite: NORMAL - add: olcTLSCRLCheck olcTLSCRLCheck: none - add: olcTLSVerifyClient olcTLSVerifyClient: never - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/new-ca-cert.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/new-ca-key.pem
这还没有完全解决它,但至少现在我可以使用;
openssl s_client -connect mydomain.com:636 -showcerts
实际上得到了一个结果.当我发现更多时,我会更新这个答案.
编辑:
我在http://rogermoffatt.com/2011/08/24/ubuntu-openldap-with-ssltls/写了我的解决方案,可能会帮助其他人.这样的palaver!
