openldap – 在ldap-2.4中启用TLS后无法使用EXTERNAL身份验证

前端之家收集整理的这篇文章主要介绍了openldap – 在ldap-2.4中启用TLS后无法使用EXTERNAL身份验证前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我使用以下LDIF文件来激活LDAP服务器的TLS支持
  1. dn: cn=config
  2. changetype: modify
  3. add: olcTLSCipherSuite
  4. olcTLSCipherSuite: NORMAL
  5. -
  6. add: olcTLSCRLCheck
  7. olcTLSCRLCheck: none
  8. -
  9. add: olcTLSVerifyClient
  10. olcTLSVerifyClient: never
  11. -
  12. add: olcTLSCACertificateFile
  13. olcTLSCACertificateFile: /etc/ssl/certs/CA.crt
  14. -
  15. add: olcTLSCertificateFile
  16. olcTLSCertificateFile: /etc/ssl/certs/server.pem
  17. -
  18. add: olcTLSCertificateKeyFile
  19. olcTLSCertificateKeyFile: /etc/ssl/private/key.pem

并使用以下LDIF强制客户端连接的TLS用法

  1. dn: cn=config
  2. changetype: modify
  3. add: olcSecurity
  4. olcSecurity: tls=1

在此之后,我不能再使用“-Y EXTERNAL”来读取或修改配置架构.例如,如果我运行,我会收到SASL错误

  1. $sudo ldapsearch -Q -Y EXTERNAL -H ldapi:/// -b "" -LLL -s base -Z supportedSASLMechanisms
  2. ldap_sasl_interactive_bind_s: Authentication method not supported (7)
  3. additional info: SASL(-4): no mechanism available:

如果我检查支持的SASL机制:

  1. $sudo ldapsearch -x -H ldapi:/// -b "" -LLL -s base -Z supportedSASLMechanisms
  2. dn:
  3. supportedSASLMechanisms: DIGEST-MD5
  4. supportedSASLMechanisms: CRAM-MD5
  5. supportedSASLMechanisms: NTLM
  6. supportedSASLMechanisms: PLAIN
  7. supportedSASLMechanisms: LOGIN

我真的看不到列表中包含的EXTERNAL.我在这里想念的是什么?

这是在Ubuntu-12.04和slapd-2.4.31上.

如果无法访问正在运行的配置,则必须停止slapd并离线编辑配置.

>停止slapd:服务slapd停止
>将配置数据库转储到文本文件:slapcat -F /etc/ldap/slapd.d -b cn = config -l config.ldif
>将现有的配置数据库移开:mv /etc/ldap/slapd.d{,.old}
>创建一个新的空配置数据库

mkdir /etc/ldap/slapd.d
chown –reference = / etc / ldap / slapd.d.old /etc/ldap/slapd.d
chmod –reference = / etc / ldap / slapd.d.old /etc/ldap/slapd.d
>编辑转储的config.ldif以删除olcSecurity设置(或将olcRootDN和olcRootPW添加到cn = config,或者您喜欢的任何其他更改)
>将已编辑的LDIF加载到新的空数据库中:slapadd -F /etc/ldap/slapd.d -b cn = config -l config.ldif

(以上假设您的配置位于/etc/ldap/slapd.d,这是Debian和Ubuntu中的默认配置.)

请注意,完整LDIF的slapadd应始终在空数据库中完成;因此,如果您犯了错误并且slapadd失败,请确保在再次尝试之前清除部分数据库.

您可以在the OpenLDAP Admin Guide以及相关手册页中找到更多信息.

猜你在找的Bash相关文章