Я пытаюсь настроить LDAPS с апачем, так, чтобы пользователи, входящие в систему моего сайта, аутентифицировались против моего AD, и что этот подлинный трафик самостоятельно шифруется.
Apache является работой версии 2.2.15 Red Hat 6.2
AD находится в Windows 2008 R2
Это все работает с простым LDAP, это - как раз в то самое время, когда я пытаюсь заставить это работать с LDAPS, который это приводит к сбою.
Выполняя трассировку wireshark, я вижу квитирование TCP, ([SYN], [SYN, ACK], [ACK]), затем существует 8-секундная задержка, где я ожидал бы, что ClientHello войдет, но этого не происходит.
Я просто добираюсь [FIN, ACK] с апачской стороны, поскольку соединение TCP разъединяется.
Так, как я начинаю диагностировать это?
В моем апачском conf добавил я
LDAPTrustedGlobalCert CA_BASE64/path/to/my/orgs/root/cert LDAPVerifyServerCert On|Off #tried оба LDAPTrustedMode SSL|TLS #tried оба
в моем ldap URL я изменил ldap://на ldaps://и изменил порт, с которым я соединяюсь
Попробовали порт 636 и 3269 (глобальный каталог SSL)
Журнал ошибок показывает [LDAP: ldap_simple_bind_s () отказавший] [Не может связаться с сервером LDAP]
Никакой брандмауэр не возрос (iptables, брандмауэр окон или промежуточное звено hw fw), таким образом, не должно быть никаких ограничений трафика.
Какие-либо идеи?
Я обнаружил, что права доступа к файлу были слишком ограничены в файле сертификата, на который указывает "LDAPTrustedGlobalCert"
. Однако с "LDAPVerifyServerCert Off" я думал, что чтение этого корневого сертификата будет обойдено , и мне не нужно было бы беспокоиться о разрешениях?
Неважно, теперь это исправлено
ЕСЛИ вы используете 'ldaps: // ip-адрес .......' в вашем URL-адресе ldap, попробуйте 'ldaps: // полное имя хоста .... ... '