Openldap não enviando certificado no handshake

2

Estou tentando configurar o PWM para o meu servidor OpenLDAP no Ubuntu 16.04, mas ele não consegue se conectar ao LDAP com erro

Can not connect to remote server: 5059 ERROR_CERTIFICATE_ERROR (unable to read server certificates from host=ldap.example.com, port=389 error: Remote host closed connection during handshake)

Se eu tentar me conectar sem criptografia, a conexão parece ser bem-sucedida, mas a configuração de uma conta para o PWM falha com TLS confidentiality required , o que é intencional.

Autenticação em clientes e ldapsearch (com o switch -Z ou -ZZ) funcionam.
Importei os arquivos de certificado para os clientes e para Java na máquina do servidor, pois o certificado é autoassinado com o openssl.

Eu tentei conectar-me ao LDAP com openssl s_client -connect ldap.example:389 -showcerts -state -tls1_2 para verificar o certificado, mas a conexão é encerrada sem nenhuma mensagem de erro e esta saída:

CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:unknown state
SSL_connect:failed in unknown state
140394455615128:error:1409E0E5:SSL routines:ssl3_write_bytes:ssl handshake failure:s3_pkt.c:656:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1484029284
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

A conexão com a porta 443 gera um certificado.
Eu sinceramente não sei o que fazer, então qualquer ajuda seria apreciada.

    
por Captain George 10.01.2017 / 07:30

1 resposta

1

389 \ TCP não é a porta SSL do LDAP por padrão. Porta 636 \ TCP comumente usada para LDAP SSL (ldaps).

Na porta 389 \ TCP pode ser ativado STARTTLS ( ldapsearch com a opção -Z ou -ZZ use-a). Não tenho certeza se o OpenSSL s_client é capaz de implementar o STARTTLS para o protocolo LDAP.

    
por 10.01.2017 / 07:46