Ich habe einen LDAP-Server eingerichtet, mit dem ich mich von einem Client-Rechner aus verbinden möchte. Sowohl auf dem Server als auch auf dem Client läuft Ubuntu, TLS ist aktiv und da es sich um ein Übungsprojekt handelt, sind alle meine Zertifikate selbst signiert.
Damit der Client das Zertifikat des Servers akzeptiert, habe ich das Zertifikat meiner Zertifizierungsstelle zum Ordner /usr/local/share/ca-certificates hinzugefügt und ausgeführt update-ca-certificates, um es zur Liste der vertrauenswürdigen Zertifikate hinzuzufügen. (gefolgt vonDasTutorial). Ich weiß, dass das Zertifikat korrekt ist und funktioniert, denn wenn ich das Zertifikat direkt während der Ausführung angebe ldapsearch -xLLLH ldaps://example.com:636 -D "cn=admin,dc=example,dc=com" -b "dc=example,dc=com" -W -o tls_cacert=/etc/ssl/certs/CA.pem, funktioniert es wie erwartet.
Wenn ich jedoch versuche, es auszuführen ldapsearch -xLLLH ldaps://example.com:636 -D "cn=admin,dc=example,dc=com" -b "dc=example,dc=com" -W(ohne den Zertifikatspfad), erhalte ich die Fehlermeldung „TLS: Peer-Zertifikat nicht vertrauenswürdig oder widerrufen (0x42)“. Ich habe diese Einstellungen zu /etc/ldap.conf hinzugefügt:
tls_cacertfile /etc/ssl/certs/CA.pem
tls_cacertdir /etc/ssl/certs
aber das scheint nichts zu ändern. Wenn man sich die Strace des Befehls ansieht, versucht er tatsächlich nicht einmal, das Zertifikat zu öffnen. Das Überschreiben der Umgebungsvariable LDAPTLS_CACERT und das Setzen auf den Pfad des Zertifikats behebt das Problem vorübergehend, wird aber bei jedem Neustart zurückgesetzt. Was könnte ich sonst tun?