Puncte:0

Configurația de replicare openldap master/slave returnează eroarea TLS de la slave

drapel cn

Încerc să adaug o replicare securizată TLS între un server ldap master și un server slave. Replicarea fără TLS funcționează bine.

Întâlnesc această eroare de la slave: slapd_client_connect: URI=ldap://master.domain.com Eroare, ldap_start_tls a eșuat (-11)

Iată configurația mea:

----- Maestru -----
/etc/ldap/ldap.conf
  URI ldap://master.domain.com/
  TLS_CACERT /etc/ssl/cacert.pem
  Cerere TLS_REQCERT

/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCertificateKeyFile: /etc/ssl/master-key.pem
  olcTLSCertificateFile: /etc/ssl/master-cert.pem
----- Sclav -----
/etc/ldap/ldap.conf
  URI ldap://slave.domain.com/
  TLS_CACERT /etc/ssl/cacert.pem
  Cerere TLS_REQCERT

/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCertificateKeyFile: /etc/ssl/slave-key.pem
  olcTLSCertificateFile: /etc/ssl/slave-cert.pem

/etc/ldap/slapd.d/cn=config/olcDatabase{1}mdb.ldif
  olcSyncrepl: rid=001, provider=ldap://master.domain.com binddn="cn=readonly,ou=users,dc=master,dc=domain,dc=com" bindmethod=simple credentials="mypass" searchbase= "dc=master,dc=domain,dc=com" type=refreshAndPersist timeout=0 network-timeout=0 retry="60 +" starttls=critical tls_reqcert=demand

Iată ce am verificat / încercat deja:

  • Certificatele de pe ambele servere sunt deținute de utilizator openldap
  • Amprenta cacert.pem pe ambele servere este aceeași
  • Data de expirare a certificatelor este bună
  • Cn-ul din cacert.pem este egal cu cn-ul serverului master
  • Sclavul poate folosi următoarea comandă pentru a căuta pe master: ldapsearch -ZZ -x -H master.domain.com -b "ou=groups,dc=master,dc=domain,dc=com"
  • Schimbarea sclavului olcTLS valoare pentru a utiliza certificatele principale
  • Folosind ldaps:// în loc de ldap:// + starttls (ldapsearch -ZZ -H ldaps:// Lucram)

După câteva cercetări pe internet, se vorbește adesea despre certificatul CA (fie cn-ul din el, proprietarul fișierului, ...) dar am verificat deja aceste cazuri.

Ai idee de unde vine problema?

Puncte:0
drapel cn

Spre deosebire de ceea ce am citit pe mai multe tutoriale, trebuie să configuram fișierul CA în variabilele olcTLS, chiar dacă folosim un certificat autosemnat.

eu cred /etc/ldap/ldap.conf fișierul nu este citit ca OpenLDAP acum lucrează cu folderul slapd.d cu un „nou” sistem de configurare.

Aceasta este configurația pe care ajung să o fac pentru a activa TLS pentru replicarea master/slave:

----- Maestru -----
/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCACertificateFile: /etc/ssl/cacert.pem
  olcTLSCertificateKeyFile: /etc/ssl/master-key.pem
  olcTLSCertificateFile: /etc/ssl/master-cert.pem
----- Sclav -----
/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCACertificateFile: /etc/ssl/cacert.pem
  olcTLSCertificateKeyFile: /etc/ssl/slave-key.pem
  olcTLSCertificateFile: /etc/ssl/slave-cert.pem

Notă :

  • Certificatul de sclav trebuie să aibă propriul certificat cn în ea
  • Dacă întâlnești verificarea modurilor (objectClass: valoarea #2 nevalidă pe sintaxă) eroare, slave pierde o schemă încărcată pe master

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.