Configuração de OpenLDAP TLS CA

Question

Configuração de OpenLDAP TLS CA

#1 resposta do (3 votos)

1

Atualmente, estou no processo de configurar dois servidores OpenLDAP sincronizados, acessados por meio de starttls / ldaps. No cliente / escravo, tive problemas com a conexão TLS. Estou usando a configuração baseada em diretório e olcTLSCACertificateFile: /etc/ssl/certs/root-ca.pem está definido, root-ca.pem é legível para o usuário ldap .

No entanto, a conexão starttls e ldaps falha:

ldapwhoami -x -H ldap://192.168.56.201/ -ZZ
ldap_start_tls: Connect error (-11)
    additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate)

Se eu adicionar um arquivo ldaprc ao diretório atual com a seguinte entrada

TLS_CACERT /etc/ssl/certs/root-ca.pem

tudo funciona como esperado.

Então parece que a configuração olcTLSCACertificateFile está sendo ignorada, ou pode haver algum outro erro / configuração errada? OS é Suse Enterprise 11sp4, a versão OpenLDAP é 2.4.26

tls openldap

por twobeers 02.05.2016 / 12:11

1 resposta

Tags tls openldap

Host Virtual Proibido após o SSL ativado Unindo duas interfaces de camada 3 para failover

score 3 · Accepted Answer

O ldapwhoami é uma ferramenta do cliente LDAP. Não usa o parâmetro olcTLSCACertificateFile. Isso é um parâmetro do lado do servidor para o slapd.

Você precisa especificar em algum lugar, que as ferramentas do cliente entendam, que você confia na CA. Isso pode ser feito (como você fez) no arquivo ldaprc, no arquivo global /etc/ldap/ldap.conf, sendo excessivamente permissivo em sua verificação de CA (TLS_REQCERT allow ... not recommended), ou talvez o melhor opção é adicionar sua CA para ser confiável pelo próprio sistema fazendo isso (pelo menos no Debian, ymmv):

Copie seu certificado CA (codificado por PEM) para /usr/local/share/ca-certificates na máquina cliente.
Executar # update-ca-certificates
Isso atualizará a coleção /etc/ssl/certs/ca-certificates.crt de CAs, que já deve estar especificada em seu arquivo /etc/ldap/ldap.conf e sua CA será confiável para o ldapwhoami e outras ferramentas.