Ich reiße mir jetzt schon seit 3 Tagen die Haare beim Versuch, LDAP zu konfigurieren. Ich habe zuerst versucht, es aus der Quelle zu installieren, habe es dann aber mit neu installiert apt-get, was einige Migrationsfehler verursacht hat, aber ich glaube, die sind alle behoben. Ich kann ldapsearch -xund seine Verwandten ausführen, wenn ich einen Root-DN richtig angebe (aus irgendeinem Grund ldap.conffunktioniert die angegebene Basis nicht), was meiner Meinung nach anzeigt, dass der Server ordnungsgemäß funktioniert; ich habe auch überprüft, dass der Server unten zuhört. Ich versuche jedoch, SSL einzurichten, und ich verstehe, dass dies mit der Version, die ich über apt-get installiert habe, in konfiguriert werden muss cn=configund daher die folgenden Optionen verwenden muss -H ldapi:/// -Y EXTERNAL, es kann jedoch keine Verbindung zum Server herstellen, wenn ich es versuche.
root@aeneas:/tmp/ldap# ldapmodify -H ldapi:/// -Y EXTERNAL -D 'cn=config' -f ./modify.ldif
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
root@aeneas:/tmp/ldap# netstat -plane | grep slapd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 0 53158 11280/slapd
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN 0 53163 11280/slapd
tcp6 0 0 :::389 :::* LISTEN 0 53159 11280/slapd
tcp6 0 0 :::636 :::* LISTEN 0 53164 11280/slapd
unix 2 [ ACC ] STREAM LISTENING 53160 11280/slapd /var/run/slapd/ldapi
unix 2 [ ] DGRAM 53154 11280/slapd
root@aeneas:/tmp/ldap# cat ./modify.ldif
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ldap/ssl/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/ssl/servercrt.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/lda/pssl/serverkey.pem
Ich habe später ldaps:///das Abhören auf Port 636 deaktiviert, weil ich vermutete, dass dieser ldapmodifystandardmäßig eine Verbindung zum SSL-Server herstellte und dann beendet wurde, wenn kein Zertifikat gegeben wurde, aber das hatte keine Wirkung.
Antwort1
Die slapiVerbindung LDAPbasiert auf der Präsenz einer Pipe-Datei im Dateisystem, um Client und Server miteinander zu verbinden.
Der Speicherort der Pipe-Datei ist natürlich installationsabhängig.
Wenn der Server beispielsweise in kompiliert ist /usr/local, bindet sich der slapd-Server an die Pipe in:
/usr/local/lib/run/ldapi
Andererseits ldapsearchsucht das von apt installierte Standardtool (Debian-Beispiel) nach einer Pipe-Datei in:
/var/run/slapd/ldapi
Ich würde empfehlen, einen Softlink zu erstellen.
Antwort2
Bei weiterer Untersuchung blieben einige ausführbare Dateien /usr/local/von der ursprünglichen Installation aus der Quelle übrig. Durch das Entfernen dieser Dateien wurde das Verbindungsproblem behoben. Das LDIF verursacht Probleme, aber das ist nicht das Thema.