Eu configurei um servidor OpenLDAP com autenticação PAM contra ele. Em texto claro, funciona muito bem, mas quando eu tento adicionar SSL, é sempre necessário.
Estou seguindo esse guia para que funcione: link
Eu estou fazendo isso em um sistema Debian lenny.
Nos meus logs eu posso ver:
Sep 9 17:00:48 Nome do host slapd [3231]: connection_read (13): verificando a entrada no id = 14
9 de set de 17: 00: 48 Nome do host slapd [3231]: connection_read (13): não é possível obter o DN do cliente TLS, erro = 49 id = 14
9 de setembro de 17:00:48 Nome do host slapd [3231]: connection_get (13): get connid = 14
Sep 9 17:00:48 Nome do host slapd [3231]: connection_read (13): verificando a entrada no id = 14
Sep 9 17:00:48 Nome do host slapd [3231]: ber_get_next no fd 13 failed errno = 0 (Success)
Sep 9 17:00:48 Nome do host slapd [3231]: connection_closing: readying conn = 14 sd = 13 para fechar
Sep 9 17:00:48 Nome do host slapd [3231]: connection_close: conn = 14 sd = 13
No lado do cliente:
Sep 9 17:00:47 ID do host: nss_ldap: não foi possível pesquisar no servidor LDAP - o servidor não está disponível
Sep 9 17:00:47 ID do host: nss_ldap: não foi possível conectar-se a nenhum servidor LDAP como cn = admin, dc = empresa, dc = local - Não é possível entrar em contato com o servidor LDAP
Sep 9 17:00:47 ID do host: nss_ldap: falha ao vincular ao servidor LDAP ldaps: //brublunm13.company.local/: Não é possível entrar em contato com o servidor LDAP
Sep 9 17:00:47 ID do host: nss_ldap: reconectando-se ao servidor LDAP ...
Sep 9 17:00:47 ID do host: nss_ldap: não foi possível conectar-se a nenhum servidor LDAP como cn = admin, dc = empresa, dc = local - Não é possível entrar em contato com o servidor LDAP
Sep 9 17:00:47 ID do host: nss_ldap: falha ao vincular ao servidor LDAP ldaps: //brublunm13.company.local/: Não é possível entrar em contato com o servidor LDAP
Sep 9 17:00:47 Nome do host id: nss_ldap: reconectando ao servidor LDAP (dormindo 1 segundo) ...
09 de setembro 17:00:48 ID do host: nss_ldap: não foi possível conectar-se a nenhum servidor LDAP como cn = admin, dc = empresa, dc = local - Não é possível entrar em contato com o servidor LDAP
Sep 9 17:00:48 ID do host: nss_ldap: falha ao vincular ao servidor LDAP ldaps: //brublunm13.company.local/: Não é possível entrar em contato com o servidor LDAP
Sep 9 17:00:48 ID do host: nss_ldap: não foi possível pesquisar no servidor LDAP - o servidor não está disponível
Além disso, no meu slapd.conf eu tenho:
TLSVerifyClient nunca
Alguma ideia sobre isso?
Agradecemos antecipadamente
Parece que você está tentando usar o SSL do lado do cliente em vez do lado do servidor; o cliente se identifica usando um certificado em vez de uma senha.
Observe que a implementação do OpenLDAP SSL é bastante complicada - demorei um bom tempo para descobrir que ela é certificada SSL CERTIFICA que ela libera privilégios, portanto, os SSL-certs precisam ter permissões de leitura para o usuário do OpenLDAP ...
Atualmente tenho SSL trabalhando com o OpenLDAP no RHEL - no meu slapd.conf, eu tenho:
TLSCACertificateFile /etc/openldap/cacerts/cacert.pem
TLSCertificateFile /etc/openldap/cacerts/slapdcert.pem
TLSCertificateKeyFile /etc/openldap/cacerts/slapdkey.pem
Você pode usar:
openssl s_client -connect localhost:636 -showcerts
para verificar se o certificado do servidor está instalado e funcionando corretamente e
ldapsearch -ZZ -x -D 'cn=manager,dc=domain,dc=com' -W 'objectclass=*' -v
para verificar se o TLS está funcionando.
Eu referenciei principalmente o link para gerar os certificados e definir as permissões corretas.