当前位置: 首页>>技术教程>>正文


不接受Ubuntu 12.04 LDAP SSL self-signed证书

, , , ,

问题描述

我正在使用OpenLDAP服务器使用Ubuntu 12.04。我遵循了instructions on the Ubuntu help pages,可以在没有安全性的情况下愉快地连接。要测试我的连接,我正在使用ldapsearch,该命令如下所示:

ldapsearch -xv -H ldap://ldap.[my host].local -b dc=[my domain],dc=local -d8 -ZZ

我也用过:

ldapsearch -xv -H ldaps://ldap.[my host].local -b dc=[my domain],dc=local -d8

据我所知,我已经正确设置了证书,但是无论为什么尝试,我似乎都无法让ldapsearch接受我的self-signed证书。

到目前为止,我已经尝试过:

  • 更新我的/etc/ldap/ldap.conf文件看起来像:

 BASE    dc=[my domain],dc=local  URI     ldaps://ldap.[my host].local  TLS_CACERT      /etc/ssl/certs/cacert.crt  TLS_REQCERT allow 
  • 更新我的/etc/ldap.conf文件看起来像:

base dc=[my domain],dc=local uri ldapi:///ldap.[my host].local uri ldaps:///ldap.[my host].local ldap_version 3 ssl start_tls ssl on tls_checkpeer no TLS_REQCERT allow 
  • 更新我的/etc/default/slapd以包括:SLAPD_SERVICES =“ ldap:///ldapi:///ldaps:///”

  • 几个小时的谷歌搜索,大部分时间导致添加了TLS_REQCERT allow

我看到的确切错误是:

ldap_initialize( ldap://ldap.[my host].local )
request done: ld 0x20038710 msgid 1
TLS certificate verification: Error, self signed certificate in certificate chain
TLS: can't connect.
ldap_start_tls: Connect error (-11)
    additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

经过几个小时的处理,我希望其他人已经看到此问题,并且/或者知道如何解决它。请告知我是否应该添加更多信息,或者是否需要其他数据。

最佳回答

问题是Ubuntu 12.04附带的GnuTLS版本使用有缺陷的加密back-end。

应该将GnuTLS从使用gcrypt作为加密back-end切换到荨麻,但是存在许可问题。具体来说,某些GPL许可证允许与更新或较旧版本的GPL链接,而某些则不允许。

您可以从配置了荨麻的源中重建GnuTLS,也可以按照Howard Chu建议的方式修改gcrypt。有关前者的说明在此错误报告中。

https://bugs.launchpad.net/bugs/926350

次佳回答

LDAPTLS_REQCERT变量设置为never以忽略服务器上可能过期或无效的证书,即:

LDAPTLS_REQCERT=never ldapsearch -D "cn=drupal-test,ou=Services,dc=example,dc=com" -w my_pass -h ldap.example.com -b "ou=People,dc=example,dc=com" -s sub -x -ZZ "(uid=admin)"

或检查服务器是否具有正确的证书。

第三种回答

在运行ldapsearch的客户端计算机上,必须具有ldap.conf

TLS_CACERT /etc/ssl/certs/cacert.crt

我已经从服务器配置中复制了存储CA证书的路径。将CA证书从服务器复制到与路径相同位置的客户端。

看到这里-http://www.openldap.org/pub/ksoper/OpenLDAP_TLS.html

参考资料

本文由Ubuntu问答整理, 博文地址: https://ubuntuqa.com/article/11488.html,未经允许,请勿转载。