de alguma forma eu não consigo configurar o slapd para ativar o suporte a ldaps no Debian Lenny. Parece que o OpenLDAP é compilado com o GnuTLS em vez do OpenSSL, o que poderia ser parte do problema.
Eu adicionei as seguintes opções ao slapd.conf:
TLSCipherSuite TLS_RSA_AES_256_CBC_SHA TLSCertificateFile /etc/ssl/certs/myhost.pem TLSCACertificatePath /etc/ssl/certs/ TLSCertificateKeyFile /etc/ssl/private/myhost.pem TLSVerifyClient never
e o seguinte para ldap.conf:
URI ldap:/// ldaps:/// TLS_REQCERT never
O seguinte erro aparece nos logs se eu tentar iniciar o slapd:
main: TLS init def ctx failed: -64
Será que o certificado, que foi gerado pelo openssl, não pode ser lido pelo GnuTLS?
Algum de vocês configurou o OpenLDAP no Debian com suporte a ldaps? Se sim, quaisquer sugestões sobre como fazê-lo funcionar seriam muito apreciadas.
Obrigado.
EDIT : encontrou um TLSCipherSuite em funcionamento.
Os nomes das cifras entre Openssl e GnuTLS não são os mesmos.
Exemplo de cifra GnuTLS:
slapd.conf:
TLSCipherSuite TLS_RSA_AES_256_CBC_SHA
Para obter uma lista de nomes de criptografia GnuTLS:
$ gnutls-cli -l
E certifique-se de que os arquivos "cert" sejam legíveis e sejam de propriedade do usuário do openldap. Você também pode adicionar o usuário openldap ao grupo ssl-cert.
Problema resolvido.
A chave do servidor só pode ser lida por raiz e grupo 'ssl-cert'. Por isso, adicionei o usuário 'openldap' ao grupo 'ssl-cert', mas de alguma forma o slapd não pôde ler a chave do servidor. Eu agora copiei a chave e mudei sua propriedade para 'openldap' e agora funciona.
isso também pode ser devido ao uso de gnutls para suporte a algoritmos md2 e md5. veja as notas de lançamento para gnutls no lenny.
Tags debian ldap openldap debian-lenny