Думаю, вы можете атаковать это одним из двух способов: заставить клиента ldapsearch
работать с использованием ваших существующих сертификатов или сгенерировать новые сертификаты, которые ему нравятся. Лично мне кажется, что изменить сертификат сервера проще, чем изменить код ldapsearch
, поэтому я и посмотрел на него.
Приведенная выше ошибка предполагает, что что-то отсутствует в сертификате на стороне сервера ( т.е. клиент не хочет разговаривать с вашим сервером, потому что он не идентифицируется должным образом).
Для начала я проверил сертификат, используемый случайным сервером LDAP, в данном случае directory.washington.edu
. Если вы получите его сертификат, например:
openssl s_client -connect directory.washington.edu:636 > dirwash.crt
, а затем выполните:
openssl x509 -in dirwash.crt -text
, вы увидите:
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication, TLS Web Server Authentication
Другие серверы LDAP (например, ldap.virginia.edu
) don ' у меня вообще нет этих расширений. Другие, например ldap.itd.umich.edu
, имеют вариант вышеупомянутого:
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
Короче говоря, я предлагаю вам проверить сертификат вашего сервера - опубликуйте его здесь, если хотите - чтобы узнать, содержит ли он Расширения X509v3 (Extended) Key Usage
и, если да, выглядят ли они как те, которые используются на других серверах LDAP.
Я видел почтовую ветку , в которой говорилось, что либо: ( 1) расширения должны отсутствовать; или (2) если расширения присутствуют, они должны содержать как минимум TLS Web Server Authentication
. Я не знаю, правда ли это в данном случае, но все равно стоит подумать.
X509v3 (Extended) Key Usage
расширения и, если да, выглядят ли они как те, что используются на других серверах LDAP .
Я видел почтовую ветку , в которой говорилось, что либо: (1) расширения должны отсутствовать; или (2) если расширения присутствуют, они должны содержать как минимум TLS Web Server Authentication
. Я не знаю, правда ли это в данном случае, но все равно стоит подумать.
X509v3 (Extended) Key Usage
расширения и, если да, выглядят ли они как те, что используются на других серверах LDAP .
Я видел почтовую ветку , в которой говорилось, что либо: (1) расширения должны отсутствовать; или (2) если расширения присутствуют, они должны содержать как минимум TLS Web Server Authentication
. Я не знаю, правда ли это в данном случае, но все равно стоит подумать.
TLS-аутентификацию веб-сервера
. Я не знаю, правда ли это в данном случае, но все равно стоит подумать. они должны содержать как минимум TLS-аутентификацию веб-сервера
. Я не знаю, правда ли это в данном случае, но все равно стоит подумать.