为 OpenLDAP 配置 StartTLS。
我有自己的内部证书颁发机构提供证书。
我已经在 /etc/ssl/certs 中设置了证书和密钥:
-rw-r----- 1 root ssl-cert 3268 Jul 14 23:02 ldaptest.roenix.net.cert.pem
lrwxrwxrwx 1 root root 51 Jul 2 13:22 roenix.ca.cert.pem -> /usr/local/share/ca-certificates/roenix.ca.cert.crt
在 /etc/ssl/private 中:
-rw-r----- 1 root ssl-cert 3243 Jul 14 23:01 ldaptest.roenix.net.key.pem
我已正确设置主机名:
@ldaptest:/etc/ssl/certs$ hostname -f
ldaptest.roenix.net
我尝试使用此 LDIF 将配置添加到 slapd:
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/roenix.ca.cert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldaptest.roenix.net.cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldaptest.roenix.net.key.pem
使用命令:
sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif
我收到此错误:
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
非常感谢任何帮助!
小智 5
我通过更改 file.ldif 中的顺序解决了这个问题,如下所示:
dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/your_key
dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/your_certificate
我运行了命令
ldapmodify -Y EXTERNAL -H ldapi:/// -f your_file.ldif
确保有一个 acl 使 root 有资格通过 SASL 绑定进行身份验证进行更改。
要确保更改已完成,请运行此命令
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config | grep olcTLS
托马斯的评论让我走上了正轨。
问题原因:我没有意识到 /etc/ssl/certs/roenix.ca.cert.crt 实际上是 /usr/local/share/ca-certificates/roenix.ca.cert.crt 的符号链接。
解决方案:对 /usr/local/share/ca-certificates 中的实际证书文件设置正确的权限。
也看了其他评论,学到了很多!谢谢大家。
| 归档时间: |
|
| 查看次数: |
17488 次 |
| 最近记录: |