Я пытаюсь добавить защищенную репликацию TLS между главным и подчиненным сервером ldap. Репликация без TLS работает хорошо.
Я сталкиваюсь с этой ошибкой от раба: slapd_client_connect: URI=ldap://master.domain.com Ошибка, ldap_start_tls не удалось (-11)
Вот моя конфигурация:
----- Мастер -----
/etc/ldap/ldap.conf
URI ldap://master.domain.com/
TLS_CACERT /etc/ssl/cacert.pem
Запрос TLS_REQCERT
/etc/ldap/slapd.d/cn=config.ldif
olcTLSCertificateKeyFile: /etc/ssl/master-key.pem
olcTLSCertificateFile: /etc/ssl/master-cert.pem
----- Раб -----
/etc/ldap/ldap.conf
URI ldap://slave.domain.com/
TLS_CACERT /etc/ssl/cacert.pem
Запрос TLS_REQCERT
/etc/ldap/slapd.d/cn=config.ldif
olcTLSCertificateKeyFile: /etc/ssl/slave-key.pem
olcTLSCertificateFile: /etc/ssl/slave-cert.pem
/etc/ldap/slapd.d/cn=config/olcDatabase{1}mdb.ldif
olcSyncrepl: rid=001, provider=ldap://master.domain.com binddn="cn=readonly,ou=users,dc=master,dc=domain,dc=com" bindmethod=простые учетные данные="mypass" searchbase= "dc=master,dc=domain,dc=com" type=refreshAndPersist timeout=0 network-timeout=0 retry="60 +" starttls=critical tls_reqcert=demand
Это то, что я уже проверил/попробовал:
- Сертификаты на обоих серверах принадлежат пользователю
openldap
- Отпечаток cacert.pem на обоих серверах одинаковый
- Срок годности сертификатов хороший
- Cn в cacert.pem равен cn главного сервера.
- Ведомый может использовать следующую команду для поиска на ведущем:
ldapsearch -ZZ -x -H master.domain.com -b "ou=groups,dc=master,dc=domain,dc=com"
- Смена раба
olcTLS значение для использования мастер-сертификатов
- С использованием
ldaps:// вместо ldap:// + starttls (ldapsearch -ZZ -H ldaps:// работал)
После некоторых исследований в Интернете часто говорят о сертификате CA (либо cn в нем, либо о владельце файла, ...), но я уже проверил эти случаи.
У вас есть идея, откуда взялась проблема?
