Încerc să adaug o replicare securizată TLS între un server ldap master și un server slave. Replicarea fără TLS funcționează bine.
Întâlnesc această eroare de la slave: slapd_client_connect: URI=ldap://master.domain.com Eroare, ldap_start_tls a eșuat (-11)
Iată configurația mea:
----- Maestru -----
/etc/ldap/ldap.conf
URI ldap://master.domain.com/
TLS_CACERT /etc/ssl/cacert.pem
Cerere TLS_REQCERT
/etc/ldap/slapd.d/cn=config.ldif
olcTLSCertificateKeyFile: /etc/ssl/master-key.pem
olcTLSCertificateFile: /etc/ssl/master-cert.pem
----- Sclav -----
/etc/ldap/ldap.conf
URI ldap://slave.domain.com/
TLS_CACERT /etc/ssl/cacert.pem
Cerere TLS_REQCERT
/etc/ldap/slapd.d/cn=config.ldif
olcTLSCertificateKeyFile: /etc/ssl/slave-key.pem
olcTLSCertificateFile: /etc/ssl/slave-cert.pem
/etc/ldap/slapd.d/cn=config/olcDatabase{1}mdb.ldif
olcSyncrepl: rid=001, provider=ldap://master.domain.com binddn="cn=readonly,ou=users,dc=master,dc=domain,dc=com" bindmethod=simple credentials="mypass" searchbase= "dc=master,dc=domain,dc=com" type=refreshAndPersist timeout=0 network-timeout=0 retry="60 +" starttls=critical tls_reqcert=demand
Iată ce am verificat / încercat deja:
- Certificatele de pe ambele servere sunt deținute de utilizator
openldap
- Amprenta cacert.pem pe ambele servere este aceeași
- Data de expirare a certificatelor este bună
- Cn-ul din cacert.pem este egal cu cn-ul serverului master
- Sclavul poate folosi următoarea comandă pentru a căuta pe master:
ldapsearch -ZZ -x -H master.domain.com -b "ou=groups,dc=master,dc=domain,dc=com"
- Schimbarea sclavului
olcTLS valoare pentru a utiliza certificatele principale
- Folosind
ldaps:// în loc de ldap:// + starttls (ldapsearch -ZZ -H ldaps:// Lucram)
După câteva cercetări pe internet, se vorbește adesea despre certificatul CA (fie cn-ul din el, proprietarul fișierului, ...) dar am verificat deja aceste cazuri.
Ai idee de unde vine problema?
