Вопросы Теги

Периодическая проблема - ldap_start_tls_s () не удалось, ошибка подключения

Мы получаем периодические ошибки такого рода: 

[Mon Mar 20 08:38:37 2017] [info] [client client_ip_here] [27056] auth_ldap authenticate: user first.last@server.com authentication failed; URI /path/to/project/trunk [LDAP: ldap_start_tls_s() failed][Connect error]

В журналах Apache: 

197896-[Mon Mar 20 08:38:37 2017] [info] Initial (No.1) HTTPS request received for child 3 (server svn.server.com:443)
197897-[Mon Mar 20 08:38:37 2017] [debug] mod_authnz_ldap.c(432): [client client_ip_here] [27056] auth_ldap authenticate: using URL ldap://ldap.server.com/OU=Accounts,DC=AAA,DC=BBB,DC=CCC?mail
197901:[Mon Mar 20 08:38:37 2017] [info] [client client_ip_here] [27056] auth_ldap authenticate: user first.last@server.com authentication failed; URI /path/to/project/trunk [LDAP: ldap_start_tls_s() failed][Connect error]

Конфигурация Apache: 

<Location /svn/>
    DAV svn

    SVNListParentPath on
    SVNParentPath /path/to/repositories
    SVNIndexXSLT "/svnindex.xsl"

    # SetEnv SVN_LOCALE_CHARSET "en_US.UTF-8"
    SetEnv SVN_LOCALE_CHARSET "UTF-8"

    AuthBasicProvider ldap file
    AuthUserFile /path/to/svnfile.acl
    AuthType Basic
    AuthzLDAPAuthoritative off
    AuthName "Login with full email (lowercase) and password / Utiliser votre courriel (minuscules) et mot de passe pour vous authentifier"
    AuthLDAPBindDN "bind_dn_here"
    AuthLDAPBindPassword "password_here"
    AuthLDAPURL "ldap://ldap.server.com/OU=Accounts,DC=AAA,DC=BBB,DC=CCC?mail" TLS
    AuthzSVNAccessFile /path/to/svnrepos.acl

    require valid-user
</Location>

Файл конфигурации LDAP: 

RERERRALS off
TLS_CACERTDIR   /etc/openldap/certs
TLS_REQCERT never

Раньше это было надежно до прошлой недели, когда нам пришлось менять DC. Решение, пока решение не будет найдено, состоит в том, чтобы перезапускать Apache каждые полчаса (или когда аутентификация начинает давать сбой)

Очевидно, новый DC настроен так же, как и другой. Не знаю, как это исправить. Я не управляю всеми частями этого уравнения.

0
задан 21 March 2017 в 15:14
1 ответ

Можно попробовать запустить ldapsearch, имитирующий то, что делает Apache, когда вы заметили проблему. Если ваша проблема отключает всех пользователей, то не имеет значения, от кого вы зависите. Вы также захотите, чтобы переключатель verbosearch посмотрел, получите ли вы какие-нибудь подсказки о том, почему starttls терпит неудачу.

Другой инструмент, который вы можете попробовать, это "openssl s_client", который может дать вам больше информации о диалоге starttls, и помочь вам сузить причину.

Посмотрел журналы на вашем новом DC?

.
0
ответ дан 5 December 2019 в 08:24

Теги

Похожие вопросы