Estou tentando configurar o TLS no meu servidor LDAP. Eu tenho dois computadores, um com o servidor LDAP e outro com um compartilhamento NFS contendo os certificados gerados Let's Encrypt.
Eu quero que o primeiro seja capaz de ler os certificados na montagem NFS. Eu segui um tutorial no wiki do Debian: aqui
Quando faço sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ldap/olcTLS.ldif
, obtenho:
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
Aparentemente, esse é um problema de permissão, conforme visto aqui
Aqui está o conteúdo do arquivo de configuração:
dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /mnt/certs/chain.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /mnt/certs/privkey.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /mnt/certs/cert.pem
Portanto, configurei o grupo do diretório compartilhado do NFS como ssl-cert
e adicionei permissão de leitura para ele. (Todos os subdiretórios têm permissão de leitura completa para todos).
Em seguida, no servidor LDAP, adicionei o usuário openldap
ao grupo ssl-cert
. (O código de ssl-cert
é o mesmo em ambos os sistemas).
Eu corri sudo -u openldap -g ssl-cert ls -l /mnt/certs
e funcionou. O usuário openldap
é capaz de ler arquivos na montagem NFS.
Então talvez não seja uma questão de permissão depois de tudo ... o que você acha?
Não teria funcionado ontem porque houve erros nos caminhos e também Vamos criptografar os links simbólicos, então não havia como o outro sistema acessar os arquivos ... Eu os corrigi, mas também não funcionaria, então eu tentei reduzir a margem de erro apenas copiando os certificados no servidor LDAP diretamente, em / tmp, e ele ainda não está funcionando. Eu recebo o mesmo erro.
Tags permissions ssl debian openldap nfs4