.png)
Ich versuche, einen Netzwerklastenausgleich einzurichten, der den Datenverkehr basierend auf Layer 3/Layer 4-Daten (IP-Protokoll) an intakte Server weiterleitet.
Frage: Funktioniert dies für LDAP über SSL (LDAPS)?(Mir ist bewusst, dass Schicht 7 bei Bedarf eine TLS/SSL-Entschlüsselung durchführt)
Ich habe einen Network Load Balancer und meine beiden Backend-Server führen den LDAP-Dienst aus.
Der Betrieb ist ldapsearchmit folgendem Ergebnis möglich:
| Ziel | Abfrage | Status |
|---|---|---|
| Backend-Server1 | ldapsearch -x -H ldap://<Backend1> |
Erfolgreich |
| Backend-Server1 | ldapsearch -x -H ldaps://<Backend1> |
Erfolgreich |
| Backend-Server2 | ldapsearch -x -H ldap://<Backend2> |
Erfolgreich |
| Backend-Server2 | ldapsearch -x -H ldaps://<Backend2> |
Erfolgreich |
| Netzwerklastenausgleich | ldapsearch -x -H ldap://<NLB> |
Erfolgreich |
| Netzwerklastenausgleich | ldapsearch -x -H ldaps://<NLB> |
NICHTErfolgreich |
Irgendwelche Vorschläge, wie man das lösen kann?
BEARBEITEN:
Beim Ausführen ldapsearch -x -H ldaps://<NLB>erhalte ich die folgende Fehlermeldung:
ldap_sasl_interactive_bind: Can't contact LDAP server (-1)
additional info: (unknown error code)
Hinzufügen der -d1Option:
ldap_url_parse_ext(ldaps://ipa.example.com)
ldap_create
ldap_url_parse_ext(ldaps://ipa.example.com:636/??base)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP ipa.example.com:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.141.4.23:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: hostname (ipa.example.com) does not match common name in certificate (ipa2.exmaple.com).
TLS: can't connect: (unknown error code).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Also ... Es scheint, als müsste ich dem NLB ein Zertifikat anhängen, das sowohl ipa1 als auch ipa2 im Zertifikat enthält? Ich bin nicht sicher, ob dies vom Cloud-Anbieter unterstützt wird.
Notiz:Ich kann mich nicht per SSH mit dem NLB verbinden, da es sich um einen verwalteten Dienst handelt.
Antwort1
It seems like I need to attach a certificate to the NLB containing both ipa1 and ipa2 in the certificate?
Nein, Sie benötigen ein Zertifikat mit ipa.example.com. Dies ist der Name, den Sie anscheinend für den Load Balancer verwenden.
Wenn Sie auch in der Lage sein möchten, die LDAP-Server direkt zu kontaktieren (unter Umgehung des Load Balancers), benötigen Sie ein Zertifikat mit mehreren SANs.
In jedem Fall sollten Sie das Zertifikat direkt auf Ihren LDAP-Servern installieren, da Ihr Load Balancer auf Ebene 4 agiert und daher die SSL-Verbindung nicht beendet, sondern den Datenverkehr lediglich an einen der Server weiterleitet.
Antwort2
TLS: hostname (ipa.example.com) does not match common name in certificate
Das von Ihnen verwendete Zertifikat verfügt im SAN nicht über den Namen, mit dem der Client eine Verbindung herstellt.