Включить SSL / LDAPS в openLDAP 2.4 на Ubuntu 16.04.5 LTS - ldap_result: не удается связаться с сервером LDAP (-1)
У меня есть следующая проблема, и я уже несколько недель гуглил . Поскольку я действительно не понимаю, в чем проблема, я задаю свой вопрос здесь в надежде найти гения ldap или ssl: Связь работает нормально. Теперь я хотел бы защитить соединение с помощью ldaps.
Сначала я изменил SLAPD_SERVICES в
/ etc / default / slapd
с ldap: /// ldapi: /// до ldap: /// ldaps: /// ldapi: ///
Затем я создал собственный центр сертификации с самоподписанным сертификатом и ключом ldap-сервера, csr и crt (подписанный CA, который я построил).
Я добавил свой собственный ca.crt к доверенным сертификатам, скопировав его в
/ usr / local / share / ca-Certific /
и выполнив эту команду:
sudo update-ca-Certificates
Я скопировал ca.crt, ldap.key и ldap.crt в / etc / ldap / ssl / files и сделал их собственностью openldap
(chown & chgrp)
после того, как я это сделал, я выполнил инструкции ( https://www.server-world.info/en/note?os=Debian_9&p=openldap&f=4 ), чтобы создать mod_ssl.ldif
#mod_ssl.ldif
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ldap/ssl/files/ca.crt
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/ssl/files/ldap.crt
-
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ldap/ssl/files/ldap.key
После создания ldif я хотел добавить его в свою конфигурацию с помощью этой команды
ldapmodify -Y EXTERNAL -H ldapi: /// -f mod_ssl.ldif
Результат этой команды:
#корень @ ldap-server : / etc / ldap / schema # ldapmodify -Y EXTERNAL -H ldapi: /// -f mod_ssl.ldif SASL / EXTERNAL аутентификация запущена Имя пользователя SASL: gidNumber = 0 + uidNumber = 0, cn = peercred, cn = external, cn = auth SASL SSF: 0 изменение записи "cn = config" ldap_result: не удается связаться с сервером LDAP (-1)
После этой команды мой slapd был мертв.
(-> Проверены открытые порты до выполнения этой команды с помощью netstat -tulpan и после выполнения.)
Перезапуск slapd с помощью /etc/init.d/slapd restart
Я включил ведение журнала of slapd с loglevel -1
Насколько я понимаю, журналы полностью чистые и не содержат никаких проблем.
tail -f / var / log / syslog
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on 1 descriptor
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on:
Oct 19 08:59:17 ldap-server slapd[1464]:
Oct 19 08:59:17 ldap-server slapd[1464]: slap_listener_activate(11):
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=11 busy
Oct 19 08:59:17 ldap-server slapd[1464]: >>> slap_listener(ldapi:///)
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: listen=11, new connection on 16
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on 1 descriptor
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on:
Oct 19 08:59:17 ldap-server slapd[1464]:
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: added 16r (active) listener=(nil)
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 fd=16 ACCEPT from PATH=/var/run/slapd/ldapi (PATH=/var/run/slapd/ldapi)
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on 2 descriptors
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on:
Oct 19 08:59:17 ldap-server slapd[1464]: 16r
Oct 19 08:59:17 ldap-server slapd[1464]:
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: read active on 16
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=10
active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: connection_get(16)
Oct 19 08:59:17 ldap-server slapd[1464]: connection_get(16): got connid=1001
Oct 19 08:59:17 ldap-server slapd[1464]: connection_read(16): checking for input on id=1001
Oct 19 08:59:17 ldap-server slapd[1464]: op tag 0x60, time 1539932357
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on 1 descriptor
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on:
Oct 19 08:59:17 ldap-server slapd[1464]:
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 op=0 do_bind
Oct 19 08:59:17 ldap-server slapd[1464]: >>> dnPrettyNormal: <>
Oct 19 08:59:17 ldap-server slapd[1464]: <<< dnPrettyNormal: <>, <>
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 op=0 BIND dn="" method=163
Oct 19 08:59:17 ldap-server slapd[1464]: do_bind: dn () SASL mech EXTERNAL
Oct 19 08:59:17 ldap-server slapd[1464]: ==> sasl_bind: dn="" mech=EXTERNAL datalen=0
Oct 19 08:59:17 ldap-server slapd[1464]: SASL Canonicalize [conn=1001]: authcid="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
Oct 19 08:59:17 ldap-server slapd[1464]: slap_sasl_getdn: conn 1001 id=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth [len=55]
Oct 19 08:59:17 ldap-server slapd[1464]: ==>slap_sasl2dn: converting SASL name gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth to a DN
Oct 19 08:59:17 ldap-server slapd[1464]: <==slap_sasl2dn: Converted SASL name to <nothing>
Oct 19 08:59:17 ldap-server slapd[1464]: SASL Canonicalize [conn=1001]: slapAuthcDN="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
Oct 19 08:59:17 ldap-server slapd[1464]: SASL proxy authorize [conn=1001]: authcid="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" authzid="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 op=0 BIND authcid="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" authzid="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
Oct 19 08:59:17 ldap-server slapd[1464]: SASL Authorize [conn=1001]: proxy authorization allowed authzDN=""
Oct 19 08:59:17 ldap-server slapd[1464]: send_ldap_sasl: err=0 len=-1
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 op=0 BIND dn="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" mech=EXTERNAL sasl_ssf=0 ssf=71
Oct 19 08:59:17 ldap-server slapd[1464]: do_bind: SASL/EXTERNAL bind: dn="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" sasl_ssf=0
Oct 19 08:59:17 ldap-server slapd[1464]: send_ldap_response: msgid=1 tag=97 err=0
Oct 19 08:59:17 ldap-server kernel: [ 1801.480222] slapd[1468]: segfault at 35 ip 00007f1093e55360 sp 00007f104bffc268 error 4 in libgmp.so.10.3.0[7f1093e41000+7f000]
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 op=0 RESULT tag=97 err=0 text=
Oct 19 08:59:17 ldap-server slapd[1464]: <== slap_sasl_bind: rc=0
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on 1 descriptor
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on:
Oct 19 08:59:17 ldap-server slapd[1464]: 16r
Oct 19 08:59:17 ldap-server slapd[1464]:
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: read active on 16
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: connection_get(16)
Oct 19 08:59:17 ldap-server slapd[1464]: connection_get(16): got connid=1001
Oct 19 08:59:17 ldap-server slapd[1464]: connection_read(16): checking for input on id=1001
Oct 19 08:59:17 ldap-server slapd[1464]: op tag 0x66, time 1539932357
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 op=1 do_modify
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 op=1 do_modify: dn (cn=config)
Oct 19 08:59:17 ldap-server slapd[1464]: >>> dnPrettyNormal: <cn=config>
Oct 19 08:59:17 ldap-server slapd[1464]: <<< dnPrettyNormal: <cn=config>, <cn=config>
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 op=1 modifications:
Oct 19 08:59:17 ldap-server slapd[1464]: #011add: olcTLSCACertificateFile
Oct 19 08:59:17 ldap-server slapd[1464]: #011#011one value, length 33
Oct 19 08:59:17 ldap-server slapd[1464]: #011replace: olcTLSCertificateFile
Oct 19 08:59:17 ldap-server slapd[1464]: #011#011one value, length 35
Oct 19 08:59:17 ldap-server slapd[1464]: #011replace: olcTLSCertificateKeyFile
Oct 19 08:59:17 ldap-server slapd[1464]: #011#011one value, length 35
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 op=1 MOD dn="cn=config"
Oct 19 08:59:17 ldap-server slapd[1464]: conn=1001 op=1 MOD attr=olcTLSCACertificateFile olcTLSCertificateFile olcTLSCertificateKeyFile
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: result not in cache (olcTLSCACertificateFile)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: add access to "cn=config" "olcTLSCACertificateFile" requested
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_get: [1] attr olcTLSCACertificateFile
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_mask: access to entry "cn=config", attr "olcTLSCACertificateFile" requested
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_mask: to value by "gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth", (=0)
Oct 19 08:59:17 ldap-server slapd[1464]: <= check a_dn_pat: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
Oct 19 08:59:17 ldap-server slapd[1464]: <= acl_mask: [1] applying manage(=mwrscxd) (stop)
Oct 19 08:59:17 ldap-server slapd[1464]: <= acl_mask: [1] mask: manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => slap_access_allowed: add access granted by manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: add access granted by manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: result not in
cache (olcTLSCertificateFile)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: delete access to "cn=config" "olcTLSCertificateFile" requested
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_get: [1] attr olcTLSCertificateFile
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_mask: access to entry "cn=config", attr "olcTLSCertificateFile" requested
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_mask: to all values by "gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth", (=0)
Oct 19 08:59:17 ldap-server slapd[1464]: <= check a_dn_pat: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
Oct 19 08:59:17 ldap-server slapd[1464]: <= acl_mask: [1] applying manage(=mwrscxd) (stop)
Oct 19 08:59:17 ldap-server slapd[1464]: <= acl_mask: [1] mask: manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => slap_access_allowed: delete access granted by manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: delete access granted by manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: result not in cache (olcTLSCertificateFile)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: add access to "cn=config" "olcTLSCertificateFile" requested
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_get: [1] attr olcTLSCertificateFile
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_mask: access to entry "cn=config", attr "olcTLSCertificateFile" requested
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_mask: to value by "gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth", (=0)
Oct 19 08:59:17 ldap-server slapd[1464]: <= check a_dn_pat: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
Oct 19 08:59:17 ldap-server slapd[1464]: <= acl_mask: [1] applying manage(=mwrscxd) (stop)
Oct 19 08:59:17 ldap-server slapd[1464]: <= acl_mask: [1] mask: manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => slap_access_allowed: add access granted by manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: add access granted by manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: result not in cache (olcTLSCertificateKeyFile)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: delete access to "cn=config" "olcTLSCertificateKeyFile" requested
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_get: [1] attr olcTLSCertificateKeyFile
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_mask: access to entry "cn=config", attr "olcTLSCertificateKeyFile" requested
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_mask: to all values by "gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth", (=0)
Oct 19 08:59:17 ldap-server slapd[1464]: <= check a_dn_pat: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
Oct 19 08:59:17 ldap-server slapd[1464]: <= acl_mask: [1] applying
manage(=mwrscxd) (stop)
Oct 19 08:59:17 ldap-server slapd[1464]: <= acl_mask: [1] mask: manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => slap_access_allowed: delete access granted by manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: delete access granted by manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: result not in cache (olcTLSCertificateKeyFile)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: add access to "cn=config" "olcTLSCertificateKeyFile" requested
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_get: [1] attr olcTLSCertificateKeyFile
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_mask: access to entry "cn=config", attr "olcTLSCertificateKeyFile" requested
Oct 19 08:59:17 ldap-server slapd[1464]: => acl_mask: to value by "gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth", (=0)
Oct 19 08:59:17 ldap-server slapd[1464]: <= check a_dn_pat: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
Oct 19 08:59:17 ldap-server slapd[1464]: <= acl_mask: [1] applying manage(=mwrscxd) (stop)
Oct 19 08:59:17 ldap-server slapd[1464]: <= acl_mask: [1] mask: manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => slap_access_allowed: add access granted by manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: => access_allowed: add access granted by manage(=mwrscxd)
Oct 19 08:59:17 ldap-server slapd[1464]: slap_queue_csn: queueing 0x7f104bffc340 20181019065917.048487Z#000000#000#000000
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_required entry (cn=config), objectClass "olcGlobal"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "objectClass"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "cn"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "olcArgsFile"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "olcLogLevel"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type
"olcPidFile"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "olcToolThreads"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "structuralObjectClass"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "entryUUID"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "creatorsName"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "createTimestamp"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "olcTLSCACertificateFile"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "olcTLSCertificateFile"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "olcTLSCertificateKeyFile"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "entryCSN"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "modifiersName"
Oct 19 08:59:17 ldap-server slapd[1464]: oc_check_allowed type "modifyTimestamp"
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on 1 descriptor
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: activity on:
Oct 19 08:59:17 ldap-server slapd[1464]:
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Oct 19 08:59:17 ldap-server slapd[1464]: daemon: epoll: listen=11 active_threads=0 tvp=zero
И последнее, но не менее важное .. Вот результат моего
netstat -tulpan
Proto Recv-Q Send-Q Local Address Внешний адрес Состояние PID / Имя программы
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
992 / sshd
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN 1535 / slapd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 1535 / slapd
ОБНОВЛЕНИЕ: Я настроил свой ldap-client maschine на использование ldaps (после настройки ldaps все работает нормально через ldap: 389)
- Добавил CA.crt с сервера ldap и доверяю этому, как описано выше.
- Изменен
/etc/ldap/ldap.confи добавлен путь к новому доверенному CA.crt - Изменен
/etc/ldap.confдля использования ldaps и раскомментирована строка ssl start_tls - изменил ldap uri при выполнении команды
sudo dpkg-reconfigure ldap-auth-config
Я перезапустил клиентскую машину и открыл tcpdump на моем сервере ldap, который прослушивает IP-адрес клиента и все соединения для portrange 389-636
10:00:27.149772 IP ldap-client.52803 > ldap-server.ldaps: Flags [S], seq 1684570111, win 29200, options [mss 1460,sackOK,TS val 4294902186 ecr 0,nop,wscale 7], length 0
10:00:27.149813 IP ldap-server.ldaps > ldap-client.52803: Flags [S.], seq 3586026827, ack 1684570112, win 28960, options [mss 1460,sackOK,TS val 1292850 ecr 4294902186,nop,wscale 7], length 0
10:00:27.149924 IP ldap-client.52803 > ldap-server.ldaps: Flags [.], ack 1, win 229, options [nop,nop,TS val 4294902186 ecr 1292850], length 0
10:00:27.151549 IP ldap-client.52803 > ldap-server.ldaps: Flags [P.], seq 1:118, ack 1, win 229, options [nop,nop,TS val 4294902186 ecr 1292850], length 117
10:00:27.151567 IP ldap-server.ldaps > ldap-client.52803: Flags [.], ack 118, win 227, options [nop,nop,TS val 1292850 ecr 4294902186], length 0
10:00:27.151949 IP ldap-server.ldaps > ldap-client.52803: Flags [F.], seq 1, ack 118, win 227, options [nop,nop,TS val 1292850 ecr 4294902186], length 0
10:00:27.152095 IP ldap-client.52803 > ldap-server.ldaps: Flags [.], ack 2, win 229, options [nop,nop,TS val 4294902187 ecr 1292850], length 0
10:00:27.152157 IP ldap-client.52803 > ldap-server.ldaps: Flags [F.], seq 118, ack 2, win 229, options [nop,nop,TS val 4294902187 ecr 1292850], length 0
10:00:27.152174 IP ldap-server.ldaps > ldap-client.52803: Flags [.], ack 119, win 227, options [nop,nop,TS val 1292850 ecr 4294902187], length 0
10:00:27.152288 IP ldap-client.52804 > ldap-server.ldaps: Flags [S], seq 1697088540, win 29200, options [mss 1460,sackOK,TS val 4294902187 ecr 0,nop,wscale 7], length 0
10:00:27.152305 IP ldap-server.ldaps > ldap-client.52804: Flags [S.], seq 2792459463, ack 1697088541, win 28960, options [mss 1460,sackOK,TS val 1292850 ecr 4294902187,nop,wscale 7], length 0
10:00:27.152360 IP ldap-client.52804 > ldap-server.ldaps: Flags [.], ack 1, win 229, options [nop,nop,TS val 4294902187 ecr 1292850], length 0
10:00:27.152502 IP ldap-client.52804 > ldap-server.ldaps: Flags [P.], seq 1:118, ack 1, win 229, options [nop,nop,TS val 4294902187 ecr 1292850], length 117
10:00:27.152512 IP ldap-server.ldaps > ldap-client.52804: Flags [.], ack 118, win 227, options [nop,nop,TS val 1292850 ecr 4294902187], length 0
10:00:27.152909 IP ldap-server.ldaps > ldap-client.52804: Flags [F.], seq 1, ack 118, win 227, options [nop,nop,TS val 1292850 ecr 4294902187], length 0
10:00:27.152998 IP ldap-client.52804 > ldap-server.ldaps: Flags [F.], seq 118, ack 2, win 229, options [nop,nop,TS val 4294902187 ecr 1292850], length 0
10:00:27.153010 IP ldap-server.ldaps > ldap-client.52804: Flags [.], ack 119, win 227, options [nop,nop,TS val 1292850 ecr 4294902187], length 0
10:00:28.153396 IP ldap-client.52805 > ldap-server.ldaps: Flags [S], seq 592612370, win 29200, options [mss 1460,sackOK,TS val 4294902437 ecr 0,nop,wscale 7], length 0
10:00:28.153437 IP ldap-server.ldaps > ldap-client.52805: Flags [S.], seq 1983710944, ack 592612371, win 28960, options [mss 1460,sackOK,TS val 1293101 ecr 4294902437,nop,wscale 7], length 0
10:00:28.153580 IP ldap-client.52805 > ldap-server.ldaps: Flags [.], ack 1, win 229, options [nop,nop,TS val 4294902437 ecr 1293101], length 0
10:00:28.153759 IP ldap-client.52805 > ldap-server.ldaps: Flags [P.], seq 1:118, ack 1, win 229, options [nop,nop,TS val 4294902437 ecr 1293101], length 117
10:00:28.153767 IP ldap-server.ldaps > ldap-client.52805: Flags [.], ack 118, win 227, options [nop,nop,TS val 1293101 ecr 4294902437], length 0
10:00:28.154285 IP ldap-server.ldaps > ldap-client.52805: Flags [F.], seq 1, ack 118, win 227, options [nop,nop,TS val 1293101 ecr 4294902437], length 0
10:00:28.154413 IP ldap-client.52805 > ldap-server.ldaps: Flags [F.], seq 118, ack 2, win 229, options [nop,nop,TS val 4294902437 ecr 1293101], length 0
10:00:28.154423 IP ldap-server.ldaps > ldap-client.52805: Flags [.], ack 119, win 227, options [nop,nop,TS val 1293101 ecr 4294902437], length 0
^C
513 packets captured
513 packets received by filter
0 packets dropped by kernel
61 packets dropped by interface
Надеюсь, кто-нибудь знает мою проблему и может мне помочь :) С уважением Табби
0
задан dsh
4 December 2019 в 15:07
Ссылка
2 ответа
Это не настоящий ответ , но мне не хватает 50 пунктов репутации, чтобы добавить комментарий:
Вы можете получить представление об ошибке, если будете отлаживать ее с клиентской точки зрения, используя:
ldapsearch -x -LLL -ZZ -d 1
Это может раскрыть информацию об ошибках в сертификате, которые я подозреваю. Также, поскольку вы используете Ubuntu, убедитесь, что AppArmor не блокирует доступ к сертификату, добавив в ваш /etc/ldap/ssl/files в конце:
/etc/ldap/ssl/files/ r,
/etc/ldap/ssl/files/* r,
Вы можете проверить ошибки AppArmor через journalctl -xaeu apparmor.
Вы можете проверить, действительно ли пользователь openldap может читать файлы, необходимые для аутентификации, выпустив:
sudo -u openldap head -1 /etc/ldap/ssl/files/*
Также вы никогда не должны использовать LDAPS, но LDAP+STARTTLS, как описано в Best Practices in LDAP Security Эндрю Финдли.
Также, пожалуйста, постарайтесь сделать ваш пост более читабельным, добавив 4 пробела перед текстом, который должен отображаться как монопространство.
.0
Наконец-то я заставил его работать. Я нашел ответ в этом блоге https://web.archive.org/web/20150530064010/http://rogermoffatt.com/2011/08/24/ubuntu-openldap-with-ssltls/
После создания этих 2 .pem файлов для ключей и сертификатов я последовал за блогом, изменил права собственности на .pem файлы и создал файл ldif.
дополнительно я добавил сертификат к доверенным сертификатам и добавил путь в /etc/ldap/ldap.conf с новой строкой TLS_REQCERT никогда.
На стороне клиента я скопировал certificate.pem и преобразовал его в .crt файл. Затем я добавил bpth-файлы в доверенные сертификаты и обновил их
Я не комментировал строки ssl start_tls бездельничать из /etc/ldap.conf и установите uri из ldap:// в ldaps:// в том же файле
Для тех, кто использует скрипт ssh для получения ключей ssh с ldap сервера, необходимо настроить uri в скрипте
Thats it!
.0