pam_ldap и ldaps не могут связаться с ldap сервером
Я пытаюсь позволить аутентификацию через LDAP в хост-системе CentOS. Но я всегда добираюсь, банка не связываются с ошибкой сервера LDAP от pam_ldap.
Сервер LDAP является дающим отклик на ping-запрос, и аутентификация работает отлично с ldap://, но не с ldaps://. Это также работает отлично с ldaps://на debian ОС, но не на CentOS.
Я добрался, банка не связываются с ошибкой также с $ ldapsearch..., но я зафиксировал его, установка TLS_REQCERT позволяет в/etc/openldap/ldap.conf. Но установка этого для/etc/pam_ldap.conf не помогает.
Шаги я сделал:
- Конфетка $ устанавливает pam_ldap nss-pam-ldapd openldap-клиенты
- $ authconfig-tui и активируют LDAP для Аутентификации
- измените/etc/pam_ldap
- измените/etc/nslcd.conf
- измените/etc/openldap/ldap.conf
- создайте/etc/ldap/ldap.conf (считайте где-нибудь, что это - путь файла конфигурации нейтрализации),
- создайте/etc/ldap.conf (с тем же содержанием как/etc/ldap/ldap.conf)
- услуги по перезапуску nscd и nslcd
Еще некоторая информация:
- Сертификат CA с LDAP-сервера читаем для всех.
- iptables отключен
Также сбивающий с толку IP в/var/log/secure. Там это говорит, что Неудавшийся пароль для testuser от 10.1.1.1, но настроенный IP для сервера LDAP 10.1.1.42 и IP хоста, 10.1.1.27. Так или иначе, если я использую uri ldap://10.1.1.42 и комментирую строку ssl на работах аутентификации как очарование.
Какие-либо идеи?
.
Пытаясь пройти проверку подлинности через pam,/var/log/secure
Sep 15 09:50:37 client-server unix_chkpwd[16146]: password check failed for user (testuser)
Sep 15 09:50:37 client-server sshd[16144]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.1.1 user=testuser
Sep 15 09:50:37 client-server sshd[16144]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Sep 15 09:50:37 client-server sshd[16144]: pam_ldap: reconnecting to LDAP server...
Sep 15 09:50:37 client-server sshd[16144]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Sep 15 09:50:40 client-server sshd[16144]: Failed password for testuser from 10.1.1.1 port 11339 ssh2
Sep 15 09:50:40 client-server sshd[16145]: Received disconnect from 10.1.1.1: 13: Unable to authenticate
Выполненный $ ldapsearch-v-H ldaps://10.1.1.42/-D cn=admin, dc=sub, dc=example, dc=org-W-x-b dc=sub, dc=example, dc=org-d1, чтобы проверить, работает ли ldaps//. (Да, это работает),
ldap_url_parse_ext(ldaps://10.1.1.42/)
ldap_initialize( ldaps://10.1.1.42:636/??base )
ldap_create
ldap_url_parse_ext(ldaps://10.1.1.42:636/??base)
Enter LDAP Password:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 10.1.1.42:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.1.1.42:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
TLS: certificate [CN=sub.example.org,OU=test-ou,O=test-o,ST=test-st,C=DE] is not valid - error -8172:Peer's certificate issuer has been marked as not trusted by the user..
TLS certificate verification: subject: CN=sub.example.org,OU=test-ou,O=test-o,ST=test-st,C=DE, issuer: CN=sub.example.org,OU=test-ou,O=test-o,ST=test-st,C=DE, cipher: AES-128, security level: high, secret key bits: 128, total key bits: 128, cache hits: 0, cache misses: 0, cache not reusable: 0
ldap_open_defconn: successful
ldap_send_server_request
...
Содержание/etc/pam_ldap.conf
ldap_version 3
pam_password crypt
uri ldaps://10.1.1.42:636
base dc=sub,dc=example,dc=org
ssl on
tls_reqcert allow
tls_cacertfile /srv/ldap-cacert.pem
tls_checkpeer no
Содержание/etc/openldap/ldap.conf
TLS_REQCERT allow
TLS_CACERTFILE /srv/ldap-cacert.pem
URI ldaps://10.1.1.42:636/
BASE dc=sub,dc=example,dc=org
Содержание/etc/nslcd.conf
uid nslcd
gid ldap
ssl on
tls_reqcert allow
tls_cacertfile /srv/ldap-cacert.pem
uri ldaps://10.1.1.42:636/
base dc=sub,dc=example,dc=org
Содержание/etc/ldap.conf и/etc/ldap/ldap.conf:
tls_checkpeer no
tls_reqcert allow
tls_cacertfile /srv/ldap-cacert.pem
uri ldaps://10.1.1.42:636/
base dc=sub,dc=example,dc=org
Iṣilọ ti mi si ọna ti o tọ. O ṣeun!
Nigbati mo yọ kuro TLS_REQCERT ati ṣayẹwo fun awọn aṣiṣe ldapsearch Mo tun ni TLS: aṣiṣe: sopọ - ipa ikuna gbigbọn ọwọ: errno 2 - aṣiṣe moznss 8172 .
Iwe-ẹri CA mi ni eyi ti o tọ, ṣugbọn openldap nlo Awọn iṣẹ Aabo Nẹtiwọọki Mozilla (MozNSS) nipasẹ aiyipada fun ṣayẹwo aṣẹ. Nitorinaa Mo ni lati ṣafikun CA ti o fowo si ara mi si ibi ipamọ data yii.
Ṣatunkọ: Gẹgẹbi Migtor ṣe tọka si ninu asọye rẹ ni isalẹ, eyi yẹ ki o kan si CentOS, RHEL ati awọn itọsẹ nikan.
.
Ni akọkọ kọ ẹda ijẹrisi CA rẹ si alabara (ọna mi: /etc/openldap/cacerts/ldap-cacert.pem)=1275] Lẹhin fifi sori ẹrọ pam_ldap ibi ipamọ data MozNSS wa ni / etc / openldap / certs:
- run
# certutil -d / etc / openldap / certs -A -n "ldap CA" -t TCu, Cu, Tuw -a -i / etc / openldap / cacerts / ldap-cacert. pem- -n "ldap CA" jẹ orukọ nikan lati ṣe idanimọ ijẹrisi rẹ ninu ibi ipamọ data MozNSS
- wadi:
# certutil -L -d / etc / openldap / certs
Akoonu tuntun ti mi /etc/pam_ldap.conf
ldap_version 3
pam_password crypt
uri ldaps://[FQDN-of-my-ldap-server]:636
base dc=sub,dc=example,dc=org
ssl on
tls_cacertdir /etc/openldap/certs
.
Kini nipa nss-pam-ldapd?
Eyi ko nilo mọ. Mo ti wẹ a mọ ati /etc/nslcd.conf ko si mọ.
.
Awọn orisun:
Подсказка находится в выходных данных команды ldapsearch :
TLS: certificate [CN=sub.example.org,OU=test-ou,O=test-o,ST=test-st,C=DE] is not valid - error -8172:Peer's certificate issuer has been marked as not trusted by the user..
TLS certificate verification: subject: CN=sub.example.org,OU=test-ou,O=test-o,ST=test-st,C=DE, issuer: CN=sub.example.org,OU=test-ou,O=test-o,ST=test-st,C=DE, cipher: AES-128, security level: high, secret key bits: 128, total key bits: 128, cache hits: 0, cache misses: 0, cache not reusable: 0
Там говорится: сертификат ... недействителен ... Издатель сертификата партнера отмечен как недоверенный пользователем . Это означает, что ЦС, используемый для выдачи сертификата сервера, не является доверенным. Мне кажется, что CACERTFILE TLS_CACERTFILE /srv/ldap-cacert.pem не содержит правильный сертификат CA. Это не сработает, пока вы не получите сообщение об ошибке очистки ldapsearch .
Как только это будет решено, вы можете получить ошибки из-за CN сертификата. Если да, попробуйте использовать ldaps: //sub.example.org/ в качестве URI вместо ldaps: //10.1.1.42/ . Если ваш DNS не разрешает это имя, просто поместите его в файл / etc / hosts (только для тестирования вам следует обновить записи DNS).