it-swarm.com.de

OpenLDAP-Fehler beim Konfigurieren von StartTLS: ldap_modify: Anderer (z. B. implementierungsspezifischer) Fehler (80)

StartTLS für OpenLDAP konfigurieren.

  • Ubuntu Server 16.04
  • Slapd 2.4.42 + dfsg-2ubuntu3.2

Ich habe meine eigene interne Zertifizierungsstelle, die Zertifikate bereitstellt.

Ich habe Zertifikate und Schlüssel eingerichtet: in/etc/ssl/certs:

-rw-r----- 1 root ssl-cert   3268 Jul 14 23:02 ldaptest.roenix.net.cert.pem

lrwxrwxrwx 1 root root         51 Jul  2 13:22 roenix.ca.cert.pem -> /usr/local/share/ca-certificates/roenix.ca.cert.crt

in/etc/ssl/private:

-rw-r----- 1 root ssl-cert 3243 Jul 14 23:01 ldaptest.roenix.net.key.pem

Ich habe den Hostnamen richtig eingestellt:

@ldaptest:/etc/ssl/certs$ hostname -f
ldaptest.roenix.net

Ich versuche, die Konfiguration mit diesem LDIF slapd hinzuzufügen:

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/roenix.ca.cert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldaptest.roenix.net.cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldaptest.roenix.net.key.pem

Mit dem Befehl:

Sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif

Ich erhalte diesen Fehler:

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)

Jede Hilfe sehr geschätzt!

4
Ph4edrus

ich hatte das gleiche Problem. Zertifikate wurden im /opt/local/cert gespeichert.

Sie müssen dieses Verzeichnis zur Liste der aufgelösten Dateien in /etc/apparmor.d/usr.sbin.slapd hinzufügen:

/opt/local/cert/ r,`
/opt/local/cert/* r,
1
user798428

Ich habe dieses Problem gelöst, indem ich die Reihenfolge in der Datei.ldif wie folgt geändert habe:

dn: cn = config
Änderungstyp: Ändern
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile:/etc/openldap/certs/your_key

dn: cn = config
Änderungstyp: Ändern
replace: olcTLSCertificateFile
olcTLSCertificateFile:/etc/openldap/certs/your_certificate

und ich habe den Befehl ldapmodify -Y EXTERNAL -H ldapi: /// -f your_file.ldif gestartet, um sicherzustellen, dass es eine Acl gibt, die es dem Root ermöglicht, Änderungen bei der Authentifizierung mit SASL-Bind vorzunehmen.

Um sicherzustellen, dass die Änderungen vorgenommen wurden, starten Sie den Befehl ldapsearch -Y EXTERNAL -H ldapi: /// -b cn = config | grep olcTLS

1