1 votes

georgeliquor avatar

ldapsearch ne peut pas se connecter à ldaps

Demandé el 16 de Juin, 2016
Quand la question a-t-elle été
9965 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'utilise un Centos 6.6 et j'essaie d'utiliser ldapsearch pour me connecter à mon serveur publicitaire Windows et je ne peux pas me connecter en utilisant le port 636.

J'ai exporté le certificat racine de mon serveur publicitaire en base64 et je l'ai ajouté dans le répertoire ldap cert (a.cer).

mon /etc/openldap/ldap.conf

# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never

PORT            636
TLS_REQCERT     demand
TLS_CERT        /etc/openldap/certs/a.cer
TLS_CACERTDIR   /etc/openldap/certs

quand j'essaie de me connecter avec ldaps :

ldapsearch -x -H 'ldaps://myadserv.intranet.mydom.com' -D 'userx' -W sAMAccountName=userx -b "dc=intranet,dc=mydom,dc=com" 'uid=user' -d1

ldap_url_parse_ext(ldaps://myadserv.intranet.mydom.com)
ldap_create
ldap_url_parse_ext(ldaps://myadserv.intranet.mydom.com:636/??base)
Enter LDAP Password:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP myadserv.intranet.mydom.com:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.32.20.24:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: certdb config: configDir='/etc/openldap/certs' tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly
TLS: using moznss security dir /etc/openldap/certs prefix .
TLS: certificate [CN=myadserv.intranet.mydom.com] is not valid - error -8179:Peer's Certificate issuer is not recognized..
TLS: error: connect - force handshake failure: errno 22 - moznss error -8179
TLS: can't connect: TLS error -8179:Peer's Certificate issuer is not recognized..
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

ldapsearch avec le port 389 fonctionne :

ldapsearch -h myadserv.intranet.mydom.com -p 389 -D userx -w 'password' -b "dc=intranet,dc=mydom,dc=com" 'uid=user'

# extended LDIF
#
# LDAPv3
# base <dc=intranet,dc=mydom,dc=com> with scope subtree
# filter: uid=user
# requesting: ALL
#

# search reference
ref: ldap://ForestDnsZones.intranet.mydom.com/DC=ForestDnsZones,DC=intran
 et,DC=mydom,DC=com

# search reference
ref: ldap://DomainDnsZones.intranet.mydom.com/DC=DomainDnsZones,DC=intran
 et,DC=mydom,DC=com

# search reference
ref: ldap://intranet.mydom.com/CN=Configuration,DC=intranet,DC=mydom
 ,DC=com

# search result
search: 2
result: 0 Success

# numResponses: 4
# numReferences: 3

Je dois avoir fait quelque chose de mal avec le certificat, l'aide serait très appréciée.

Faites-moi savoir si j'ai oublié quelque chose et si vous voulez que j'ajoute des informations supplémentaires.

Demandé el 16 de Juin, 2016 par georgeliquor

Réponse

Trop de publicités?

1voto

JatSing avatar
JatSing Points 511

Centos 6 possède un merveilleux système pour faire confiance aux CA, certificats de systèmes partagés

Placez le CA cert au format pem dans /etc/pki/ca-trust/source/anchors/, exécutez update-ca-trust && update-ca-trust enable

La beauté de cet outil est qu'il génère des magasins openssl, java et nss.

Ainsi, si votre certificat d'autorité de certification est correct, il fonctionnera (chez $work, nous déployons nos certificats d'autorité de certification de confiance de cette manière).

Ce blog a un bon article sur le sujet.

Répondu el 24 de Juin, 2016 par JatSing (511 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X