Adicione a seguinte linha ao /etc/ldap/ldap.conf:
TLS_REQCERT never
Isso impedirá que o ldapsearch valide o certificado. Portanto, não é a opção mais segura.
Você pode especificar um certificado de CA com TLS_CACERT /path/to/trusted/ca
Estou tentando depurar a conectividade LDAP, então instalei ldapsearch via sudo apt install ldap-utils . Aqui está a saída do comando:
# ldapsearch -x -LLL -H ldaps://myip -d1 -ZZ
ldap_url_parse_ext(ldaps://myip)
ldap_create
ldap_url_parse_ext(ldaps://myip/??base)
ldap_extended_operation_s
ldap_extended_operation
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP myip:636
ldap_new_socket: 4
ldap_prepare_socket: 4
ldap_connect_to_host: Trying myip:636
ldap_pvt_connect: fd: 4 tm: -1 async: 0
attempting to connect:
connect success
TLS: peer cert untrusted or revoked (0x42)
TLS: can't connect: (unknown error code).
ldap_err2string
ldap_start_tls: Can't contact LDAP server (-1)
additional info: (unknown error code)
Especificamente, estou me concentrando nesta linha:
TLS: peer cert untrusted or revoked (0x42)
Eu fiz algumas pesquisas e encontrei pessoas explicando para definir essa configuração em um arquivo que existe em um diretório chamado /etc/openldap . No entanto, este diretório não existe na máquina - parece que não foi criado durante a instalação do ldap-utils .
Não consigo descobrir se há uma maneira de informar ldapsearch para ignorar o nível de confiança do certificado do servidor ou para transmitir algum tipo de CA. Qual é a solução adequada aqui, para continuar com o teste de conectividade?
Adicione a seguinte linha ao /etc/ldap/ldap.conf:
TLS_REQCERT never
Isso impedirá que o ldapsearch valide o certificado. Portanto, não é a opção mais segura.
Você pode especificar um certificado de CA com TLS_CACERT /path/to/trusted/ca