.png)
Estoy intentando configurar un equilibrador de carga de red que dirija el tráfico a servidores en buen estado en función de datos de Capa 3/Capa 4 (protocolo IP).
Pregunta: ¿Esto funciona para LDAP sobre SSL (LDAPS)?(Soy consciente de que la capa 7 realiza el descifrado TLS/SSL según sea necesario)
Tengo un Network Load Balancer y mis dos servidores backend ejecutan el servicio LDAP.
Es posible ejecutar ldapsearchcon el siguiente resultado:
| Objetivo | Consulta | Estado |
|---|---|---|
| Servidor backend1 | ldapsearch -x -H ldap://<Backend1> |
Exitoso |
| Servidor backend1 | ldapsearch -x -H ldaps://<Backend1> |
Exitoso |
| Servidor backend2 | ldapsearch -x -H ldap://<Backend2> |
Exitoso |
| Servidor backend2 | ldapsearch -x -H ldaps://<Backend2> |
Exitoso |
| equilibrador de carga de red | ldapsearch -x -H ldap://<NLB> |
Exitoso |
| equilibrador de carga de red | ldapsearch -x -H ldaps://<NLB> |
NOExitoso |
¿Alguna sugerencia de cómo solucionar esto?
EDITAR:
Al ejecutar ldapsearch -x -H ldaps://<NLB>me sale el siguiente error:
ldap_sasl_interactive_bind: Can't contact LDAP server (-1)
additional info: (unknown error code)
Agregando la -d1opción:
ldap_url_parse_ext(ldaps://ipa.example.com)
ldap_create
ldap_url_parse_ext(ldaps://ipa.example.com:636/??base)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP ipa.example.com:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.141.4.23:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: hostname (ipa.example.com) does not match common name in certificate (ipa2.exmaple.com).
TLS: can't connect: (unknown error code).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Entonces... ¿Parece que necesito adjuntar un certificado al NLB que contenga tanto ipa1 como ipa2 en el certificado? No estoy seguro de si el proveedor de la nube lo admite.
Nota:No puedo acceder por SSH al NLB porque es un servicio administrado.
Respuesta1
It seems like I need to attach a certificate to the NLB containing both ipa1 and ipa2 in the certificate?
No, necesita un certificado con ipa.example.com, que es el nombre que parece estar usando para el equilibrador de carga.
Si también desea poder comunicarse con los servidores LDAP directamente (sin pasar por el equilibrador de carga), necesitará un certificado con múltiples SAN.
De cualquier manera, debe instalar el certificado directamente en sus servidores LDAP, porque su balanceador de carga actúa en la capa 4 y, por lo tanto, no finaliza la conexión SSL, sino que simplemente reenvía el tráfico a uno de los servidores.
Respuesta2
TLS: hostname (ipa.example.com) does not match common name in certificate
El certificado que estás utilizando no tiene en la SAN el nombre al que se está conectando el cliente.