OpenLDAP с StartTLS, поврежденным на Debian Lenny
Мой метод является легким, относительно дешевым, занимает меньше времени, затем прокручивающего вещи со связями zip или застежку на липучке. Я просто покупаю поле дешевых сумок на замке zip от хранилища и помещаю кабель или два в каждой сумке.
- Я нахожу, что перенесенные или скрученные кабели могут стать свободными или все еще могут стать немного запутанными.
- Решение сумки на замке zip полезно, если необходимо сохранить, говорят что концентратор USB с его связанным источником питания. Просто пихните кабель и концентратор в мешковатое и установите его в своем поле. Просто оборачивание их и помещение их в поле могут привести к тому устройству и его источнику питания, становящемуся разделенными.
по умолчанию клиент проверяет на сертификат сервера. Просто добавляйте "TLS_REQCERT никогда" к/etc/openldap/ldap.conf
-
1Спасибо, да. Если у меня есть TLSCACertificatePath/etc/ssl/certs/в моем slapd.conf файле, я вижу, что slapd жалуется, что gnutls не поддерживает ту директиву. Таким образом, когда я комментирую его, и slapd запускается без жалобы, I' m не уверенный, если это может найти cacert файл, этому нужно. – mr.zog 8 June 2010 в 01:18
-
2Готово. Теперь I' m наблюдение, " ldap_bind: Недопустимые учетные данные (49) " на стороне клиента и: conn=6 fd=13 ПРИНИМАЮТ от IP=192.168.10.19:53979 (IP=0.0.0.0:389) conn=6 op=0 BIND dn =" cn=admin, dc=oplz, dc=yo" method=128 conn=6 op=0 ЗАКАНЧИВАЮТСЯ tag=97 err=49 текст = conn=6 fd=13 закрытый (потеря соединения) – mr.zog 10 June 2010 в 17:47
-
3Просто попробуйте ldaps вместо ldap + starttls. Посмотрите, есть ли у Вас какие-либо проблемы. Во-вторых, как sybreon упомянутый, openldap люди утверждают, что не нужно связывать slapd двоичные файлы с gnutls. – RainDoctor 10 June 2010 в 20:58
Мне удалось получить SSL, работающий с SLAPD на Lenny недавно. В то время как я не помню точно, что я сделал, я действительно вспоминаю это имеющий некоторое отношение к различию в шифрах между GNUTLS и OPENSSL. Пакеты SLAPD для Lenny были скомпилированы против GNUTLS. Мог бы иметь некоторое отношение к этому.
Похоже, что это не может считать файл ключей. У Вас должен быть unpassworded ключ. Добавьте openldap к группе ssl-сертификата. Сделайте группу на ключевом ssl-сертификате и полномочиях 440. openssl s_client команда может использоваться для отладки проблем tls.
-
1Я следовал инструкциям в Матовом Butcher' s заказывают для установки ключей в " clear" (разделенный пароль) метод. Я добавил, что мой openldap пользователь группе ssl-сертификата как Вы сказал. Теперь I' m получение ldap_bind: Недопустимые учетные данные (49) ошибки. Не уверенный, если that' s прогресс. Heh. – mr.zog 10 June 2010 в 17:45
-
2Попробуйте соединение с помощью открытых ssk инструментов. Они помогают reolving tls проблемы. Попытайтесь добавить-w (простая аутентификация) к командной строке. Это принимает значение по умолчанию к sasl, которому я верю. – BillThor 12 June 2010 в 04:28
Если у Вас будет сертификат SSL, который подписывается промежуточным сертификатом (который не является редким в эти дни), то у Вас будут проблемы с TLS в slapd при Lenny. Как упомянуто sybreon Lenny slapd связывается с GNUTLS, который не поддерживает все опции, в которых Вы нуждаетесь.
Решение состоит в том, чтобы использовать бэкпорт Lenny slapd. Однако мы нашли, что 2.4.17-2.1~bpo50+1 бэкпортируют компиляции против libdb4.6, который имеет ошибку в нем, которая влияет на нас после выполнения приблизительно в течение недели.
Таким образом в этой точке я не рекомендую использовать Lenny для выполнения slapd, если Вам нужен TLS. Обновление для сжатия вместо этого.