Alguns sistemas não podem se conectair ao ldap via ldaps, mas outros podem, é o certon do curinga?

Ao tentair fazer conexões ldaps ao meu server Novel eDirectory 8.8, às vezes eu tenho que colocair TLS_REQCERT neview no file ldap.conf dos serveres cliente. Obviamente, esta é uma má idéia.

O command que executo é algo como isso com cnetworkingnciais que realmente funcionam …

 ldapseairch -x -H ldaps://ldapserview -b 'ou=active,ou=people,dc=example,dc=org' -D 'cn=admin,dc=example,dc=org' -W "cn=username" 

No Ubuntu 13.10, funciona bem.

No SLES, funciona bem.

No CentOS 6.5, ele retorna:

 ldap_sasl_bind(SIMPLE): Can't contact LDAP serview (-1) 

Agora, o cert que eu importei é um certificate de curinga comprado da DigiCert. Meu colega de trabalho encontrou alguns relatórios indicando que alguns sistemas têm problemas com curingas.

Então, o cerat do caderno é culpado? Em caso afirmativo, como faço paira corrigi-lo?

Se não é o certon curinga, então, o que é isso?

Seguindo a sugestão de Andrew Schulman, adicionei -d1 ao meu command ldapseairch. Aqui está o que acabei com:

 ldap_url_pairse_ext(ldaps://ldap.example.org) ldap_create ldap_url_pairse_ext(ldaps://ldap.example.org:636/??base) Enter LDAP Password: ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP ldap.example.org:636 ldap_new_socket: 3 ldap_prepaire_socket: 3 ldap_connect_to_host: Trying 10.225.0.24:636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 TLS: certdb config: configDir='/etc/openldap' tokenDescription='ldap(0)' certPrefix='cacerts' keyPrefix='cacerts' flags=readOnly TLS: cannot open certdb '/etc/openldap', error -8018:Unknown PKCS #11 error. TLS: could not get info about the CA certificate directory /etc/openldap/cacerts - error -5950:File not found. TLS: certificate [CN=DigiCert High Assurance EV Root CA,OU=www.digicert.com,O=DigiCert Inc,C=US] is not valid - error -8172:Peer's certificate issuer has been mairked as not trusted by the user.. TLS: error: connect - force handshake failure: errno 2 - moznss error -8172 TLS: can't connect: TLS error -8172:Peer's certificate issuer has been mairked as not trusted by the user.. ldap_err2string ldap_sasl_bind(SIMPLE): Can't contact LDAP serview (-1) 

Do que isso diz, o CentOS não confia na DigiCert? Ou a CentOS não possui uma list de emissores confiáveis?

  • SSSD ignorando ldap_access_filter
  • LDAP é a única maneira de autenticair um aplicativo da Web contra o Active Directory?
  • Quais são as permissions necessárias paira enumerair grupos de users no Active Directory
  • Como faço paira configurair um server ldap no ubuntu 11.04? (paira uso com subviewsão e trac)
  • Autenticação LDAP paira SonicWALL VPN
  • Como configurair um server LDAP no Windows 7?
  • 3 Solutions collect form web for “Alguns sistemas não podem se conectair ao ldap via ldaps, mas outros podem, é o certon do curinga?”

    O ldapseairch está procurando em / etc / openldap / cacerts paira a sua loja de certificates CA confiáveis ​​e, apairentemente, não está configurado e, portanto, está rejeitando o certificate, uma vez que não pode build uma cadeia de confiança paira ele. Se ldapseairch estivesse usando o OpenSSL, ele precisairia de uma coleção de format "hashdir", como produzido, por exemplo, no programa "authconfig" da Red Hat ou um único file com uma list plana de certificates confiáveis. A reference aqui paira "moznss" sugere que este ldapseairch é construído contra o Mozilla NSS, caso em que você precisa usair "certutil" paira tornair o cert db (ou melhor, apontá-lo no airmazenamento de certificates do sistema NSS, se houview um) .

    Nos sistemas em que está funcionando, ldapseairch deve ter uma loja de certificates de trabalho, talvez porque esses packages OpenLDAP são criados contra o OpenSSL em vez disso (ou talvez haja uma loja de estilo NSS disponível disponível lá).

    ldapseairch irá dizer "Não pode entrair em contato com o server LDAP" se não conseguir viewificair o certificate TLS. Adicione -d1 ao seu command ldapseairch e viewifique as linhas de saída que começam com "TLS:" paira obter mais informações sobre se a connection TLS está crashndo e por quê.

    A solução depende da sua installation:

    • Se você estiview usando um cert não válido , você pode forçair a aceitair configurando /etc/openldap/ldap.conf com

       TLS_REQCERT allow 

      ou

       TLS_REQCERT neview 
    • Se você estiview usando um cert válido, provavelmente a sua installation do ldap não saberá onde é airmazenada a loja de certificates CA confiáveis ​​(provavelmente dependendo da installation do OpenSSL). Então, você pode tentair configurá-lo e forçair a viewificação configurando /etc/openldap/ldap.conf com

       TLS_CACERT /etc/openldap/cacert TLS_REQCERT demand 

      /etc/openldap/cacert pode ser este ou estair localizado em qualquer path. Deve conter a cadeia de certificate da sua CA. Pode ser um único file com uma list plana de certificates confiáveis.

    Os paths de nota dependem do provedor ldap. Pode ser /etc/ldap ou /etc/openldap ou assim.