LDAPS falha handshake errno 21 É um diretório - Encontrado fim do arquivo

1

Eu configurei um servidor de autenticação de passagem do openLDAP do CentOS 7 .

Ele autenticará os usuários por meio do LDAP em um banco de dados hospedado no diretório ativo da Microsoft.

Eu posso obter uma resposta de consulta bem-sucedida se eu usar o LDAP: //

No entanto, LDAPS: // fornecerá erros de handshake de certificado.

Estou usando um certificado comprado do GoDaddy no formato PFX.

Encontrei algumas soluções possíveis, mas nada funciona até agora.

Eu tentei:

  1. Desativando o SELinux para testes
  2. Converteu o certificado PFX em PEM, bem como em DER
  3. Usa o certutil como explicado aqui para criar um banco de dados do MozNSS: link

    pk12util -d / caminho / para / certdb -i /path/to/file.p12

Eu encontrei esta página link Mas eu não sei quais comandos usar para obter o certificado de formato correto para o openLDAP.

Eu tentei estes:

openssl x509 -outform der -in certificate.pem -out certificate.der
openssl x509 -outform der -in certificate.pem -out certificate.crt

Quando eu executo um ldapsearch:

ldapsearch -H ldaps://192.168.1.69 -b "OU=Administration,DC=domain,DC=com" -v -LLL -D "CN=ServiceLDAP,OU=Administration,DC=domain,DC=com" "(samaccountname=someuser)" -w secretpass -d1

Estes são os erros que estou recebendo:

ldap_url_parse_ext(ldaps://192.168.1.32)
ldap_initialize( ldaps://192.168.1.32:636/??base )
ldap_create
ldap_url_parse_ext(ldaps://192.168.1.32:636/??base)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 192.168.1.32:636
ldap_new_socket: 4
ldap_prepare_socket: 4
ldap_connect_to_host: Trying 192.168.1.32:636
ldap_pvt_connect: fd: 4 tm: -1 async: 0
attempting to connect:
connect success
TLS: certdb config: configDir='/etc/openldap/certs' tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly
TLS: using moznss security dir /etc/openldap/certs prefix .
TLS: error: tlsm_PR_Recv returned 0 - error 21:Is a directory
TLS: error: connect - force handshake failure: errno 21 - moznss error -5938
TLS: can't connect: TLS error -5938:Encountered end of file.
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
    
por Reapbooster 15.10.2016 / 03:46

1 resposta

0

Consegui corrigir o problema.

O formato correto para o certificado e chave:

openssl pkcs12 -in ./ACertFromGoDaddy.pfx -nocerts -out privatekey.pem -nodes
openssl pkcs12 -in ./ACertFromGoDaddy.pfx -nokeys -out publiccert.pem -nodes

Eu coloquei esses certificados em ./openldap/certs e consegui configurar o slapd para lê-los de lá, fazendo um arquivo ldif e carregando-o com o slapadd:

slapadd -n0 -F /etc/openldap/slapd.d/ -l ./mod_ssl.ldif

O conteúdo do meu arquivo mod_ssl.ldif é:

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/certs/publiccert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/publiccert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/privatekey.pem

Eu consegui realizar pesquisas ldap local e remotamente:

ldapsearch -H ldaps://192.168.1.69 -b "OU=Administration,DC=domain,DC=com" -v -LLL -D "CN=ServiceLDAP,OU=Administration,DC=domain,DC=com" "(samaccountname=someuser)" -w secretpass -d1
    
por 18.10.2016 / 19:25