Configurei um servidor LDAP ao qual gostaria de me conectar a partir de uma máquina cliente. Ubuntu é o sistema operacional do servidor e do cliente, o TLS está ativo e como este é um projeto prático, todos os meus certificados são autoassinados.
Para que o cliente aceite o certificado do servidor, adicionei o certificado da minha CA à pasta /usr/local/share/ca-certificates e executei update-ca-certificates, adicionando-o à lista confiável. (seguidoessetutorial). Eu sei que o certificado está correto e funciona, porque quando eu especifico o certificado diretamente durante a execução ldapsearch -xLLLH ldaps://example.com:636 -D "cn=admin,dc=example,dc=com" -b "dc=example,dc=com" -W -o tls_cacert=/etc/ssl/certs/CA.pem, ele funciona conforme o esperado.
No entanto, quando tento executar ldapsearch -xLLLH ldaps://example.com:636 -D "cn=admin,dc=example,dc=com" -b "dc=example,dc=com" -W(sem o caminho do certificado), recebo um erro "TLS: certificado de mesmo nível não confiável ou revogado (0x42)". Eu adicionei essas configurações ao /etc/ldap.conf:
tls_cacertfile /etc/ssl/certs/CA.pem
tls_cacertdir /etc/ssl/certs
mas isso parece não mudar nada. Olhando para o strace do comando, ele realmente não tenta abrir o certificado uma vez. Substituir a variável de ambiente LDAPTLS_CACERT e configurá-la para o caminho do certificado corrige-a temporariamente, mas isso será redefinido a cada reinicialização. O que mais eu poderia fazer?