Tôi đang cố gắng thêm bản sao được bảo mật TLS giữa máy chủ ldap chính và máy chủ phụ. Bản sao không có TLS hoạt động tốt.
Tôi gặp lỗi này từ nô lệ: lapd_client_connect: URI=ldap://master.domain.com Lỗi, ldap_start_tls không thành công (-11)
Đây là cấu hình của tôi:
----- Sư phụ -----
/etc/ldap/ldap.conf
URI ldap://master.domain.com/
TLS_CACERT /etc/ssl/cacert.pem
Yêu cầu TLS_REQCERT
/etc/ldap/slapd.d/cn=config.ldif
olcTLSCertificateKeyFile: /etc/ssl/master-key.pem
olcTLSCertificateFile: /etc/ssl/master-cert.pem
----- Nô lệ -----
/etc/ldap/ldap.conf
URI ldap://slave.domain.com/
TLS_CACERT /etc/ssl/cacert.pem
Yêu cầu TLS_REQCERT
/etc/ldap/slapd.d/cn=config.ldif
olcTLSCertificateKeyFile: /etc/ssl/slave-key.pem
olcTLSCertificateFile: /etc/ssl/slave-cert.pem
/etc/ldap/slapd.d/cn=config/olcDatabase{1}mdb.ldif
olcSyncrepl: ride=001, provider=ldap://master.domain.com binddn="cn=readonly,ou=users,dc=master,dc=domain,dc=com" bindmethod=simple credentials="mypass" searchbase= "dc=master,dc=domain,dc=com" type=refreshAndPersist timeout=0 network-timeout=0 retry="60 +" starttls=critical tls_reqcert=demand
Đây là những gì tôi đã kiểm tra/thử:
- Chứng chỉ trên cả hai máy chủ đều thuộc sở hữu của người dùng
openldap
- Dấu vân tay của cacert.pem trên cả hai máy chủ đều giống nhau
- Ngày hết hạn của các chứng chỉ là tốt
- Cn trong cacert.pem bằng với cn của máy chủ chính
- Slave có thể sử dụng lệnh sau để tìm kiếm trên master:
ldapsearch -ZZ -x -H master.domain.com -b "ou=groups,dc=master,dc=domain,dc=com"
- Thay đổi nô lệ
olcTLS giá trị để sử dụng chứng chỉ chính
- sử dụng
ldap:// thay vì ldap:// + starttls (ldapsearch -ZZ -H ldaps:// đang làm việc)
Sau một số nghiên cứu trên internet, nó thường nói về chứng chỉ CA (có thể là cn trong đó, chủ sở hữu của tệp, ...) nhưng tôi đã kiểm tra các trường hợp này.
Bạn có biết vấn đề đến từ đâu không?
