Recientemente actualizamos los certificados de CA en nuestro host LDAP. Hay un par de servidores CentOS 5.x que no parecen tener problemas para autenticarse en el host LDAP, pero hay un servidor Centos 6.6 que no puede hacerlo. No sé cómo se configuró originalmente el servidor y el administrador del sistema no dejó mucha documentación cuando se fue. El cliente ldapsearch parece funcionar sin problemas. Cuando ejecuto ldapsearch con una salida de depuración máximamente detallada, no veo ningún error:
$ ldapsearch -h ldap.hostname.com -x -LLL -v -d 167 -s base -b "" 2>&1 | grep -i error
res_errno: 0, res_error: <>, res_matched: <>
res_errno: 0, res_error: <>, res_matched: <>
Aquí está el resultado de la openssl s_client
utilidad:
$ openssl s_client -connect ldap.hostname.com:636 < /dev/null
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = US, ST = MI, L = Ann Arbor, O = Internet2, OU = InCommon, CN = InCommon RSA Server CA
verify return:1
depth=0 C = , postalCode = , ST = , L = , street = , O = , OU = , CN = ldap.hostname.com
verify return:1
---
Certificate chain
0 s:/C=US/postalCode=/ST=/L=/street=/OU=/CN=ldap.hostname.com
i:/C=US/ST=MI/L=Ann Arbor/O=Internet2/OU=InCommon/CN=InCommon RSA Server CA
1 s:/C=US/ST=MI/L=Ann Arbor/O=Internet2/OU=InCommon/CN=InCommon RSA Server CA
i:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
2 s:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
subject=/C=/postalCode=/ST=/L=/street=/O=/OU=/CN=ldap.hostname.com
issuer=/C=US/ST=MI/L=Ann Arbor/O=Internet2/OU=InCommon/CN=InCommon RSA Server CA
---
No client certificate CA names sent
---
SSL handshake has read 5715 bytes and written 607 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : AES256-SHA256
Session-ID: [...]
Session-ID-ctx:
Master-Key: [...]
Key-Arg : None
Krb5 Principal: None
PSK identity: None
PSK identity hint: None
Start Time: [...]
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
DONE
Cuando ejecuto nslcd en modo de depuración, encuentro los siguientes errores:
$ sudo nslcd -d -d -d 2>&1 > nslcd.log
$ cat nslcd.log | grep -i error
res_errno: 0, res_error: <>, res_matched: <>
TLS: cannot open certdb '/etc/openldap/cacerts', error -8018:Unknown PKCS #11 error.
TLS: certificate [...] is not valid - error -8172:Peer's certificate issuer has been marked as not trusted by the user..
TLS: error: connect - force handshake failure: errno 0 - moznss error -8172
TLS: can't connect: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user..
nslcd: [8b4567] ldap_start_tls_s() failed: Connect error (uri="ldap://ldap.hostname.com/")
nslcd: [8b4567] failed to bind to LDAP server ldap://ldap.hostname.com/: Connect error
res_errno: 0, res_error: <>, res_matched: <>
[...]
Aquí están los contenidos de /etc/ldap.conf
:
base o=org
timelimit 120
bind_timelimit 120
idle_timelimit 3600
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman,nscd,gdm
nss_map_attribute uniqueMember member
nss_base_passwd ou=People,?one
nss_base_group ou=Group,?one
tls_cert
tls_key
uri ldap://ldap.hostname.com
ssl start_tls
TLS_CACERTDIR /etc/openldap/certs
pam_password md5
SUDOERS_BASE ou=SUDOers,o=org
Aquí están los contenidos de /etc/openldap/ldap.conf
:
TLS_CACERTDIR /etc/openldap/certs
URI ldap://ldap.hostname.com/
BASE o=org
Y aquí está el contenido de /etc/nslcd.conf
:
uid nslcd
gid ldap
uri ldap://ldap.hostname.com/
base o=org
ssl start_tls
tls_cacertdir /etc/openldap/cacerts
tls_cacertfile /etc/openldap/cacerts/authconfig_downloaded.pem
Busqué en Google los mensajes de error, pero estoy más que un poco abrumado por toda la documentación LDAP diferente que encontré en línea. Cualquier consejo sería muy apreciado.
Respuesta1
para rhel y derivados desde la versión 6 se utiliza update-ca-trust (man 8 update-ca-trust para todos los detalles). Mucha información enhttps://www.happyassassin.net/2015/01/14/trusting-additional-cas-in-fedora-rhel-centos-dont-append-to-etcpkitlscertsca-bundle-crt-or-etcpkitlscert-pem/
Básicamente, coloca su archivo ca en formato PEM en /etc/pki/ca-trust/source/anchors/ y lo ejecuta como root update-ca-trust; si está en el formato de certificado de confianza extendido, entonces debe colocarlo en /etc/pki/ca-trust/source y nuevamente, update-ca-trust.
o, y en centos 6 no se recomienda ejecutar nslcd. sssd hace un trabajo mucho mejor almacenando información en caché, entre otras cosas.