У меня есть версия сервера OpenLDAP openldap-2.4.40
, которая отлично работает на минимальной версии CentOS 7. Я тестировал, выполнив:
ldapwhoami -H ldap://provider.med.cornell.edu -x \
-D "cn=Manager,dc=provider,dc=med,dc=cornell,dc=edu" -W
Но если я использую ldaps: // .....
это не удается:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Я попытался настроить этот файл / etc / sysconfig / slapd
, но безрезультатно.
SLAPD_URLS="ldapi:/// ldap:///"
Это закомментировано
# SLAPD_URLS="ldapi:/// ldaps:///"
# Any custom options # SLAPD_OPTIONS="-g ldap"
Если я раскомментирую
#SLAPD_URLS="ldapi:/// ldaps:///"
и перезапущу slapd
, то ldap: ///
тоже не будет работать.
В чем может быть проблема?
Вы пробовали ldap: /// ldaps: ///?
На этой странице http: //www.openldap.org / doc / admin24 / runningslapd.html , ldapi - это ldap поверх ipc.
Я изменил свое доменное имя на provide.example.com и убедился, что правильно выполняю сертификацию и ldaps работает нормально. на сервере и добавил нового пользователя и получил его через ldapsearch.
Затем я настроил клиента и запустил: ldapwhoami -H ldaps: //provider.example.com -x -D "cn = Manager, dc = example, dc = com" -W и получил: dn: cn = Manager, dc = example, dc = com
и получит newuser01, если я запустил ldapsearch на клиенте.
Но когда я попытаюсь запустить: getent -s sss passwd newuser01
Я ничего не получаю.
Содержимое моего /etc/sssd/sssd.conf: [домен / по умолчанию]
autofs_provider = ldap cache_credentials = Ложь ldap_search_base = dc = пример, dc = com krb5_server = # id_provider = ldap auth_provider = ldap chpass_provider = ldap ldap_uri = ldaps: //provider.example.com ldap_id_use_start_tls = Ложь ldap_tls_cacertdir = / и т.д. / openldap / cacerts [sssd] services = nss, pam, autofs config_file_version = 2
доменов = по умолчанию [nss] homedir_substring = / home
[pam]
[sudo]
[autofs]
[SSH]
[pac]
[ifp]
Конечно, я тоже настроил аутентификацию authconfig \ --disablesmartcard \ --disablefingerprint \ --enablesssd \ --enablesssdauth \ --enablelocauthorize \ --disablemd5 \ --passalgo = sha512 \ --enablepamaccess \ --enableldap \ --enableldapauth \ --disableldaptls \ --ldapserver = ldaps: //provider.example.com: 636 \ --ldapbasedn = dc = example, dc = com \ --энаблемхомедир \ --disablecachecreds \ --disablekrb5 \ --disablekrb5kdcdns \ --disablekrb5realmdns \ --krb5kdc = "#" \ --updateall
Думаю, это ответ на вопрос, но я не совсем уверен, как создать новый вопрос, или я должен просто начать новый вопрос?