ldap.conf 파일에서 SSL start_tls 옵션이 활성화된 클라이언트에서 Ubuntu LDAP 인증이 작동하지 않습니다. SSL start_tls를 주석 처리하면 인증할 수 있습니다.
LDAP 서버 인증서를 업그레이드한 후 SSL이 활성화된 경우 사용자는 더 이상 내 우분투 10.04 클라이언트 시스템에서 인증할 수 없습니다. 발생한 변경 사항:
Cert upgraded from 1024 to 2048 bit
now is a wildcart cert and use it to be a self-signed cert
encryption algorithm is now shaw512 (use to be md5)
내 auth.log에 몇 가지 오류가 있습니다.
nss-ldap: do_open: do_start_tls 실패:stat=-1
새 인증서(이전 centOS 시스템)를 사용하여 인증하는 다른 클라이언트가 있기 때문에 새 인증서가 작동합니다.
내 클라이언트에서 LDAP와 함께 SSL을 더 이상 사용할 수 없는 이유를 아는 사람이 있나요?
답변1
서명 계층 구조가 있습니까(즉, 자체 서명되지 않음)? "와일드카드"와 "자체 서명"은 배타적이지 않습니다. 상업용 와일드카드 인증서에는 계층 구조, 즉 하나 이상의 중간 CA와 루트 CA가 있습니다.
sha-512 또는 md5는해시인증서 서명에 사용되지만 그렇지 않습니다.암호화 알고리즘. 이는 인증서 무결성을 확인하는 데 사용되며 연결에 사용되는 암호는 이와 독립적으로 협상됩니다.
가장 가능성이 높은 원인은 sha512(더 정확하게는 "sha512WithRSAEncryption")가 Ubuntu 10에서 지원되지 않는다는 것입니다. 또는 머신에 하나 이상의 CA 인증서(중간 또는 루트)가 누락되어 전체 체인 확인을 완료할 수 없습니다.
Ubuntu 10 시스템에서 다음을 실행하여 openssl이 서버의 새 인증서를 처리할 수 있는지 확인할 수 있습니다.
openssl x509 -in newservercert.crt -noout -text
하지만 그것이 결정적이지는 않을 수도 있습니다. 이는 또한 도움이 될 수 있습니다:
ldapsearch -x -Z -v -h your.ldap.server
(OpenSSL 대신 GnuTLS가 사용될 가능성은 희박합니다. 어쩔 수 없습니다. 죄송합니다!)
/etc/ldap/ldap.conf 파일에 다음을 추가하여 체인 문제를 확인하거나 거부할 수 있습니다.
TLS_REQCERT never
도움이 된다면 체인에서 누락된 부분을 가져와서 로컬 저장소에 추가해야 합니다. 수행 방법은 /etc/ldap/ldap.conf에서 "TLS_CACERT" 및/또는 TLS_CACERTDIR을 확인하는 클라이언트 구성에 따라 다릅니다. 지시문은 시작하는 곳입니다.
가능성이 낮은 원인은 다음과 같습니다.
- CRL을 확인할 수 없음(ldap.conf를 확인하여 활성화되어 있는지 확인)
그리고 다른 것이 변경되지 않았다고 가정하면 완전성을 위해 다음과 같은 있을 법하지 않은 원인이 포함됩니다.
- 클라이언트가 지원하지 않는 서버 프로토콜 버전 또는 암호 세트
- 지원되는 SASL 메커니즘 변경
답변2
이 질문이 해결되었는지 확실하지 않습니다. 나는 같은 상황에 직면했다. 12.04는 TLS를 사용하여 LDAP 서버에 연결하지만 10.04는 그렇지 않습니다. 내 솔루션은 다음 줄을 추가하는 것입니다 /etc/ldap/ldap.conf.
TLS_CACERT /etc/ssl/certs/ca-certificates.crt
10.04 클라이언트는 TLS를 사용하여 LDAP 서버에 연결할 수 있습니다.