题 OpenLdap TLS身份验证设置


我正在尝试按照本指南在ubuntu 12.04上设置openldap https://help.ubuntu.com/12.04/serverguide/openldap-server.html

当我尝试通过创建上述指南中描述的自签名证书来在服务器上启用TLS时,我收到以下错误

我跑的命令

ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif

ldif文件的内容

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem

错误信息

ldap_modify: Inappropriate matching (18)
        additional info: modify/add: olcTLSCertificateFile: no equality matching rule

在谷歌上搜索了几个小时后,我还没有发现任何有关此错误的信息。 有没有人有这方面的更多信息?


5
2017-12-06 01:01




不是你的问题的答案,但一旦你修复了,你可能想要 强制使用SSL。 - Halfgaar


答案:


这些是 SINGLE-VALUE。使用 replace 代替 add

另请注意,属性的更改可能需要重新启动 slapd。 (并非所有内容都可以按照我们的要求进行运行时配置。)

您的架构可能是:

attributeTypes: ( 1.3.6.1.4.1.4203.1.12.2.3.0.70 NAME 'olcTLSCertificateFile' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
attributeTypes: ( 1.3.6.1.4.1.4203.1.12.2.3.0.71 NAME 'olcTLSCertificateKeyFile' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )

一点解释: ldapmodify  add 原因 slapd 通过执行相等匹配来确保您没有将属性值对两次放入。从我可以告诉它应该使用 2.5.13.6 NAME 'caseExactOrderingMatch',但我不确定我是否尝试过 add 对于这些属性。这种行为可能完全正常。


6
2018-06-29 19:24





我在OpenLDAP服务器上启用TLS的方法是在/etc/openldap/slapd.conf文件中指定某些指令,例如:

TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
TLSCertificateFile /etc/pki/tls/certs/servercertificate.cer
TLSCertificateKeyFile /etc/pki/tls/certs/privatekey.key

此示例适用于商业签名证书,但它也适用于自签名证书。这确实需要重新启动OpenLDAP,因为我不知道如何让OpenLDAP重新读取配置文件而不重新启动它。


-2
2018-06-29 01:58



他不使用本地配置文件,而是使用cn = config来存储和配置LDAP服务器 - Daywalker