Откройте LDAP (slapd) не могущий добавить olcTLSCertificateFile и olcTLSCertificateKeyFile к cn=config
Я пытаюсь добавить поддержку TLS своему экземпляру OpenLDAP, и в соответствии с бесчисленными статьями я, как предполагается, добавляю следующий (ldif):
dn: cn=config
add: oclTLSCACertificateFile
olcTLSCACertificateFile: /etc/ldap/ssl/slapd.pem
-
dn: cn=config
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/ssl/slapd.pem
-
dn: cn=config
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile /etc/ldap/ssl/privkey.pem
Я могу добавить olcTLSCACertificateFile очень хорошо. Но не olcTLSCertificateFile или olcTLSCertificateKeyFile в этом отношении.
ldapmodify просто дает мне Реализацию определенная ошибка (80), который бесполезен. Но ldapadd/slapadd дает мне Неизвестную ошибку атрибута.
Так мой я проверил схему
# ldapsearch -b cn=schema,cn=config
и конечно же все olcTLS* атрибуты там.
Таким образом, что я делаю неправильно здесь?
2 ответа
Я решил его со следующим ldif
dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ldap/ssl/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/ssl/slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ldap/ssl/slapd_key.pem
Заметьте, что у меня только есть dn: на первой записи я удалил его, формируют последующие атрибуты. На самом деле я должен был использовать замену: на olcTLSCACertificateFile, потому что это уже присутствовало.
Ошибка реализации (80), по-видимому, имеет много возможных причин, связанных с правами доступа, владельцем и генерируемыми файлами сертификатов. Но когда я отказывался от порядка добавления атрибутов, это действительно сделало мой день. Тот, который, наконец, сработал для меня:
root@ldap:~# cat add7.ldif
dn: cn=config
changetype: modify
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/certs/privkey1.pem
root@ldap:~# cat add8.ldif
dn: cn=config
changetype: modify
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/certs/cert1.pem
root@ldap:~# cat add6.ldif
dn: cn=config
changetype: modify
replace: olcTLSCRLCheck
olcTLSCRLCheck: none
root@ldap:~# cat add5.ldap
dn: cn=config
changetype: modify
add: olcTLSCipherSuite
olcTLSCipherSuite: NORMAL
-
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/certs/fullchain1.pem
root@ldap:~# cat add2.ldap
dn: cn=config
changetype: modify
add: olcTLSProtocolMin
olcTLSProtocolMin: 3.3
root@ldap:~# cat add1.ldap
dn: cn=config
changetype: modify
replace: olcTLSVerifyClient
olcTLSVerifyClient: never
Прочитать:
ldapmodify -Y EXTERNAL -H ldapi:/// -f add1.ldap
Чтобы проверить:
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config | grep olcTLS