我已经获得带有SSL的OpenLDAP,并且在带有签名证书的testing框中工作。 我可以在Windows上使用LDAP工具来查看LDAP上的LDAP(端口636)。 但是,当我运行dpkg-reconfigure ldap-auth-config来设置我的本地login使用ldaps时,我在该目录下的用户名下login不起作用。 如果我改变configuration使用普通的ldap(端口389),它工作得很好(我可以在目录下的用户名login)。 当它的设置ldaps我得到Auth.log显示:
Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: reconnecting to LDAP server... Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server
我会提供任何需要的。 我不知道还有什么要包括的。
当你需要像“ldaps:// server:636 /”这样的东西时,我怀疑你使用的是“ldaps:// server /”。
没有指定端口,它将通过端口389尝试TLS。
sshd使用特权分离和chroots。 这可能与开启SSL并检查证书所需的堆栈中的某些内容交互不良。
尝试暂时禁用PrivilegeSeparation; 像这样运行是一个坏主意,但如果它解决了这个问题,那么你就知道需要调查的地方。
那么这是一个TLS问题。 只需在客户端禁用检查slapd的证书。 TLS_ReqCert在客户端默认设置为“demand”; 将其改为“从不”。 这使得你的客户信任slapd,并在tsl握手之后build立连接。
嗨尽pipe您的系统可以在端口389上运行,但TLS可能仍在运行,因为openLDAP可能会对数据进行encryption并通过389发送。您可以查看此信息。