Como instalar um certificado confiável na máquina cliente para ativar a autenticação LDAP?

Navegue suas respostas
1

Eu fiz o download de uma instância vm do TurnKey Linux OpenLDAP. Agora corre em uma vm. Eu estou usando isso para autenticação de conta de usuário através de uma rede. A máquina cliente é uma máquina de estoque do CentOS 7. Tudo em ambas as máquinas está sendo implementado pelo OpenLDAP e OpenSSL.

A configuração de tudo do lado do servidor AFAIK parece estar bem pronto para uso (que é todo o conceito das distribuições TurnKey Linux). Eu posso acessar sua interface de administração da web pela rede, tudo parece estar bem, exceto pelo fato de que eu não posso autenticar a máquina cliente.

Acredito que tenho tudo configurado corretamente na máquina cliente, exceto por um fato: os detalhes do SSL no cliente não estão configurados corretamente e eu não sou muito qualificado quando se trata disso. Eu quero usar minha própria certificação e minha própria autoridade

Tentar su username da máquina do cliente faz o shell ficar travado por vários segundos (como se estivesse esperando por algo). Em seguida, a autenticação do usuário falha, ao contrário de apenas sair imediatamente quando digito um usuário sem sentido.

Após a investigação, encontro as seguintes entradas no meu diário do sistema: 

Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> ldap_start_tls_s() failed (uri=ldap://192.168.254.104): Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> failed to bind to LDAP server ldap://192.168.254.104: Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> no available LDAP server found: Connect error
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> no available LDAP server found: Server is unavailable

Como posso tornar o emissor do certificado "confiável" na máquina do cliente? Quais etapas eu preciso tomar para conseguir isso? Eu sou um noob completo com SSL e honestamente depois de ler um monte de coisas on-line eu ainda estou bastante confuso sobre como remediar a situação.

    
por steelmonkey 15.11.2015 / 16:03

1 resposta

1

Você precisa adicionar o arquivo de certificado ao seu armazenamento de certificados confiável. Eu não tenho uma VM do CentOS na mão no momento, mas se bem me lembro, ela usa um diretório normal contendo certificados X509 de texto simples com extensão de arquivo .crt .

É provável que esteja em algum lugar abaixo de /etc/ssl . Apenas navegue por lá ou use find até encontrar onde todos os outros certificados confiáveis estão localizados. Deve haver alguns deles. Se você tiver o certificado, basta copiá-lo para esse local e certificar-se de que as permissões sejam as mesmas dos outros certificados confiáveis.

    
por 15.11.2015 / 16:17

Tags

O servidor Linux periodicamente não pode se conectar a si mesmo (mas todas as outras conexões funcionam) Inicialização do UEFI pxe Implementação do Ghost para Windows 10