Я хотел бы включить безопасную аутентификацию LDAP на моем сервере CentOS 7.2 Samba ... однако я застреваю при настройке TLS на самом сервере LDAP.
РЕДАКТИРОВАТЬ: [ Я установил openldap из репозиториев по умолчанию ]
В настоящее время я следую руководству здесь , но вместо того, чтобы вручную вводить настройки в файлы конфигурации, я пытаюсь чтобы сделать это «правильным» способом и используйте ldapmodify. Мне потребовалось время, чтобы понять, как пользоваться этим инструментом, но я, наконец, освоил эту часть. Однако я застрял в следующем.
Команда:
ldapmodify -Y EXTERNAL -H ldapi:/// -f TLS.conifg -v
с помощью указанной выше команды для установки следующего файла LDIF я получаю следующую ошибку:
TLS.config:
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcTLSCipherSuite
olcTLSCipherSuite: HIGH
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/file.server.org.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/file.server.org.key.pem
Ошибка:
Entry (olcDatabase={2}hdb,cn=config), attribute 'olcTLSCipherSuite' not allowed
EDIT2: [ У меня установлены и openSSL, и gnuTLS, поэтому я выполняю требования для TLS, как указано в документации openLDAP, найденной здесь ]
РЕДАКТИРОВАТЬ3: [ Мои сертификаты находятся в правильной папке с тем, что я могу только догадываться, это правильные разрешения, как показано ниже.
]
РЕДАКТИРОВАТЬ 4: Разрешение
Как упоминалось ниже в 84104, директивы конфигурации olcTLS адресуются в файле cn = config
, а не в самих определениях базы данных.
У меня есть удалось настроить директивы TLS, и я перешел к созданию моих записей.
Благодарю за помощь!
Атрибуты olcTLS*
применяются к cn=config
, общей конфигурации сервера, а не к какой-либо конкретной БД, например olcDatabase={2}hdb,cn=config
.
$ ldapsearch -b cn=config '(|(olcTLSCertificateFile=*)(olcTLSCertificateKeyFile=*)(olcTLSCipherSuite=*))' olcTLSCertificateFile olcTLSCertificateKeyFile olcTLSCipherSuite olcTLSProtocolMin
dn: cn=config
olcTLSCertificateFile: /etc/openldap/ssl/ldap.cert
olcTLSCertificateKeyFile: /etc/openldap/ssl/ldap.key
olcTLSCipherSuite: HIGH:!aNull:!MD5:@STRENGTH
olcTLSProtocolMin: 3.1