我下载了TurnKey Linux OpenLDAP虚拟机实例。 它现在运行在一个虚拟机。 我正在使用这个通过networking进行用户帐户authentication。 客户端机器是股票CentOS 7机器。 这两台机器上的所有内容都由OpenLDAP和OpenSSL实现。
所有服务器端AFAIK的configuration似乎都没问题(这是TurnKey Linux发行版的整个概念)。 我可以通过networking访问它的networkingpipe理界面,除了我无法从客户端机器进行身份validation之外,一切似乎都很好。
我相信我已经在客户端机器上正确设置了一切,除了一个事实:客户端上的SSL细节设置不正确,而且我不太了解这方面的知识。 我想用我自己的authentication和我自己的权威
试图从客户端机器su username使shell挂起几秒钟(就好像它正在等待的东西)。 然后,用户authentication失败,而不是立即退出,当我input一个无意义的用户。
经过调查,我发现我的系统日志中有以下条目:
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> ldap_start_tls_s() failed (uri=ldap://192.168.254.104): Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> failed to bind to LDAP server ldap://192.168.254.104: Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> no available LDAP server found: Connect error Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> no available LDAP server found: Server is unavailable
如何使客户机上的证书的颁发者“信任”? 我需要采取哪些措施来实现这一目标? 我是一个完全的SSL的老大,老实说,在阅读了一堆的东西后,我仍然很困惑,如何纠正这种情况。
您需要将证书文件添加到您的可信证书存储区。 目前我手头没有CentOS虚拟机,但是如果我回想起来,它使用了一个普通的包含带有.crt文件扩展名的纯文本X509证书的目录。
它可能在/etc/ssl下的某处。 只需浏览那里或使用find直到find所有其他可信任的证书所在的位置。 应该有相当多的人。 如果您拥有证书,只需将其复制到该位置,并确保权限与其他可信任的证书相同。