Вопросы Теги

TLS для ldap и сертификата

У меня есть httpd conf:

LoadModule  ldap_module  modules/mod_ldap.so
LoadModule  ssl_module   modules/mod_ssl.so

LDAPTrustedGlobalCert  CA_BASE64  /etc/openldap/certs/domenCA.crt

<VirtualHost *:80>
    ServerName      domen.lan
    ServerAlias     domen domen1
    DocumentRoot    /var/www/html

    <Directory  /var/www/html/private1>
        AuthName        "Members only site"
        AuthType        basic
        require         valid-user

        AuthBasicProvider ldap
        AuthLDAPUrl      "ldap://ldap.domen.lan/dc=domen,dc=lan"
#        AuthLDAPUrl      "ldap://ldap.domen.lan/dc=domen,dc=lan"   TLS
    </Directory>
</VirtualHost>

Когда я работаю затем и ввожу учетные данные, они хорошо работают:

elinks http://domen.lan/private1

затем я пробую TLS (то же, но TLS на конце строки):

#       AuthLDAPUrl      "ldap://ldap.domen.lan/dc=domen,dc=lan"
        AuthLDAPUrl      "ldap://ldap.domen.lan/dc=domen,dc=lan"   TLS

Этому не удается показать страницу, и я получаю ошибку:

The server encountered an internal error or misconfiguration and was unable to complete your request.

в /var/log/httpd/access_log :

"GET /private1 HTTP/1.1" 401 381 "-" "ELinks/0.12pre6 (textmode; Linux; 111x64-2)"
"GET /private1 HTTP/1.1" 500 527 "-" "ELinks/0.12pre6 (textmode; Linux; 111x64-2)"

ничто в:

/var/log/messages
/var/log/httpd/error_log

когда я работаю

openssl s_client -connect domen.lan:389 -showcerts -state

Я добираюсь:

CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
140597450172320:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 249 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

Я не знаю, как я могу зафиксировать ту ошибку сертификата.

Я имею 

  centos 7.1

  openldap-2.4.39-6.el7.x86_64
  openldap-clients-2.4.39-6.el7.x86_64
  openldap-servers-2.4.39-6.el7.x86_64

  httpd-2.4.6-31.el7.centos.x86_64

Это, кажется, работает хорошо, если я имею TLS_REQCERT allow в etc/openldap/ldap.conf но не, если я имею TLS_REQCERT demand. Я не могу понять это, что происходит: 

TLS_CACERTDIR   /etc/openldap/certs
SASL_NOCANON    on
URI             ldap://centos7s.domen.lan
BASE            dc=domen,dc=lan
host            centos7s.domen.lan
#TLS_REQCERT    allow                    
TLS_REQCERT     demand
ssl             start_tls
TLS_CACERT      /etc/openldap/certs/domenCA.crt
0
задан 4 August 2015 в 22:49
1 ответ

Просто добавляю собственное решение в качестве ответа для удобства чтения:

Проблема заключалась в том, что я использовал другое имя сервера при создании сертификата, и теперь он не хотел принимать сертификат. Итак, когда я исправляю строку: AuthLDAPUrl "ldap: //ldap.domen.lan/dc=domen,dc=lan" TLS с именем сервера в сертификате, это сработало!

0
ответ дан 5 December 2019 в 12:36

Теги

Похожие вопросы