ldapmodify erro 80 ao tentar adicionar o certificado ssl

1

Ok, estou tentando configurar o TLS com o LDAP no meu servidor Debian Jessie, até agora sem sucesso. Eu continuo correndo para o temido erro 80 quando executo meu comando ldapmodify.

Aqui está o conteúdo do meu arquivo ldif:

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /ssl/ldap/cacert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /ssl/ldap/server-key.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /ssl/ldap/server-cert.pem

E, claro, quando eu executo isso, aqui está a saída:

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)

Agora, já li dezenas de postagens on-line e todas as vezes, parece ser um problema de permissão. No entanto, no meu caso, quando coloco apenas isso no meu arquivo, funciona:

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /ssl/ldap/cacert.pem

Portanto, considerando que todos os três arquivos estão na mesma pasta e têm o mesmo conjunto de permissões, duvido muito que o problema venha disso. Alguém pode me ajudar a descobrir as coisas?

Obrigado.

    
por Osuwariboy 24.05.2018 / 17:28

1 resposta

1

Ok, no meu caso, o problema era que o server-cert.pem e server-key.pem estavam malformados.

Inicialmente, tanto a chave privada quanto os certificados estavam em um único arquivo pem, então tive que dividi-los de volta em dois para acomodar o LDAP. No entanto, em vez de realmente usar a ferramenta openssl para dividir o arquivo, abri um editor de texto e copiei as coisas em dois arquivos separados. Para quem lê isto no futuro: esta é uma má ideia. Se acontecer de você ter um único arquivo contendo o certificado e a chave privada, use os dois comandos abaixo para extrair ambas as partes. Isso vai lhe poupar muita dor de cabeça.

openssl x509 -outform pem -in server.pem -out cert.pem
openssl pkey -outform pem -in server.pem -out key.pem
    
por 25.05.2018 / 22:52