Score:0

การกำหนดค่าการจำลองแบบหลัก / ทาสของ openldap ส่งคืนข้อผิดพลาด TLS จากสลาฟ

ธง cn

ฉันกำลังพยายามเพิ่มการจำลองแบบที่ปลอดภัยของ TLS ระหว่างเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์ ldap รอง การจำลองแบบที่ไม่มี TLS ทำงานได้ดี

ฉันพบข้อผิดพลาดนี้จากทาส: Slapd_client_connect: URI=ldap://master.domain.com เกิดข้อผิดพลาด ldap_start_tls ล้มเหลว (-11)

นี่คือการกำหนดค่าของฉัน:

----- ผู้เชี่ยวชาญ -----
/etc/ldap/ldap.conf
  URI ldap://master.domain.com/
  TLS_CACERT /etc/ssl/cacert.pem
  ความต้องการ TLS_REQCERT

/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCertificateKeyFile: /etc/ssl/master-key.pem
  olcTLSCertificateFile: /etc/ssl/master-cert.pem
----- ทาส -----
/etc/ldap/ldap.conf
  URI ldap://slave.domain.com/
  TLS_CACERT /etc/ssl/cacert.pem
  ความต้องการ TLS_REQCERT

/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCertificateKeyFile: /etc/ssl/slave-key.pem
  olcTLSCertificateFile: /etc/ssl/slave-cert.pem

/etc/ldap/slapd.d/cn=config/olcDatabase{1}mdb.ldif
  olcSyncrepl: rid=001, provider=ldap://master.domain.com binddn="cn=readonly,ou=users,dc=master,dc=domain,dc=com" bindmethod=simple credentials="mypass" searchbase= "dc=master,dc=domain,dc=com" type=refreshAndPersist timeout=0 network-timeout=0 retry="60 +" starttls=critical tls_reqcert=demand

นี่คือสิ่งที่ฉันตรวจสอบ / ลองแล้ว:

  • ใบรับรองบนเซิร์ฟเวอร์ทั้งสองเป็นของผู้ใช้ openldap
  • ลายนิ้วมือของ cacert.pem บนเซิร์ฟเวอร์ทั้งสองเหมือนกัน
  • วันหมดอายุของใบรับรองเป็นสิ่งที่ดี
  • cn ใน cacert.pem เท่ากับ cn ของเซิร์ฟเวอร์หลัก
  • สเลฟสามารถใช้คำสั่งต่อไปนี้เพื่อค้นหามาสเตอร์: ldapsearch -ZZ -x -H master.domain.com -b "ou=groups,dc=master,dc=domain,dc=com"
  • เปลี่ยนทาส olcTLS ค่าที่จะใช้ใบรับรองหลัก
  • โดยใช้ ldaps:// แทน ldap:// + starttls (ldapsearch -ZZ -H ldaps:// กำลังทำงาน)

หลังจากการค้นคว้าทางอินเทอร์เน็ต มันมักจะพูดถึงใบรับรอง CA (ไม่ว่าจะเป็น cn ในนั้น เจ้าของไฟล์ ...) แต่ฉันได้ตรวจสอบกรณีเหล่านี้แล้ว

คุณมีความคิดว่าปัญหามาจากไหน ?

Score:0
ธง cn

ตรงกันข้ามกับที่ฉันอ่านในบทช่วยสอนหลายบท เราจำเป็นต้องกำหนดค่าไฟล์ CA ในตัวแปร olcTLS แม้ว่าเราจะใช้ใบรับรองที่ลงนามด้วยตนเองก็ตาม

ฉันเชื่อว่า /etc/ldap/ldap.conf ไฟล์ไม่ถูกอ่านเนื่องจาก OpenLDAP ทำงานร่วมกับโฟลเดอร์ Slapd.d ด้วยระบบการกำหนดค่า "ใหม่"

นี่คือการกำหนดค่าที่ฉันต้องทำเพื่อเปิดใช้งาน TLS สำหรับการจำลองแบบหลัก / ทาส:

----- ผู้เชี่ยวชาญ -----
/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCACertificateFile: /etc/ssl/cacert.pem
  olcTLSCertificateKeyFile: /etc/ssl/master-key.pem
  olcTLSCertificateFile: /etc/ssl/master-cert.pem
----- ทาส -----
/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCACertificateFile: /etc/ssl/cacert.pem
  olcTLSCertificateKeyFile: /etc/ssl/slave-key.pem
  olcTLSCertificateFile: /etc/ssl/slave-cert.pem

บันทึก :

  • ใบรับรองทาสจำเป็นต้องมีเป็นของตัวเอง ซีเอ็น ในนั้น
  • หากคุณพบเจอกับ ตรวจสอบ mods (objectClass: ค่า #2 ไม่ถูกต้องต่อไวยากรณ์) ข้อผิดพลาด ทาสพลาดสคีมาบางส่วนที่โหลดบนมาสเตอร์

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา