Ошибка самозаверяющего сертификата SSL на Samba 4
В настоящее время я готовлю переход на Samba 4 в моем офисе и сталкиваюсь с проблемами в моей лабораторной сети.
tls enabled = yes
tls keyfile = tls/key.pem
tls certfile = tls/cert.pem
tls cafile = tls/ca.pem
Я также попытался переместить автоматически сгенерированные файлы из исходного места назначения
/ var / lib / samba / private / tls /
в
/ etc / samba / tls /
и
/ usr / local / samba / private / tls /
Команда curl отвечает на этот вопрос:
#curl ldaps://host.domain.fr
curl: (60) SSL certificate problem: unable to get local issuer certificate
Но я успешно подключился к
# curl --insecure ldaps://host.domain.fr
# curl --cacert /usr/local/samba/private/tls/ca.pem ldaps://host.domain.fr
Что ж, любые советы по настройке или поиску и устранению неисправностей приветствуются!
Хорошо, проблема решена.
Выполните эту процедуру, чтобы создать самоподписанный сертификат для Samba 4
Перейдите в каталог автоматически сгенерированных сертификатов, удалите существующие и создайте свои собственные в тот же каталог. затем перезапустите samba
# cd /usr/local/samba/private/tls ## if you compiled samba from sources
# cd /var/lib/samba/private/tls ## if you installed samba from repos
# rm *.pem
# openssl req -newkey rsa:2048 -keyout myKey.pem -nodes -x509 -days 365 -out myCert.pem
Добавьте это в свой /etc/samba/smb.conf[12100 visible Затем перезапустите Samba
Для успешного выполнения команды ldapsearch следуйте совету этой темы и добавьте
TLS_REQCERT ALLOW
в ваш ldap .conf файл.
Одна вещь, которая заставляла меня ошибаться, заключалась в том, что
openssl verify myCert.pem
никогда не будет работать с моей конфигурацией (Debian 9.0 "Stretch" - OpenSSL 1.1.0f) Я повторил попытку ввода ключей под OpenSSL 1.0.2 и работал нормально. Я не уверен, вызвано ли это операционной системой или просто версией openssl ...