Я настроил сервер LDAP, к которому я хотел бы подключиться с клиентской машины. Ubuntu — это ОС как сервера, так и клиента, TLS активен, и поскольку это практический проект, все мои сертификаты самоподписанные.
Для того чтобы клиент принял сертификат сервера, я добавил сертификат моего CA в папку /usr/local/share/ca-certificates и запустил update-ca-certificates, добавив его в список доверенных. (далееэтотучебник). Я знаю, что сертификат правильный и работает, потому что когда я указываю сертификат напрямую во время запуска ldapsearch -xLLLH ldaps://example.com:636 -D "cn=admin,dc=example,dc=com" -b "dc=example,dc=com" -W -o tls_cacert=/etc/ssl/certs/CA.pem, он работает так, как и ожидалось.
Однако при попытке запуска ldapsearch -xLLLH ldaps://example.com:636 -D "cn=admin,dc=example,dc=com" -b "dc=example,dc=com" -W(без пути сертификата) я получаю ошибку "TLS: peer cert untrusted or revoked (0x42)". Я добавил эти настройки в /etc/ldap.conf:
tls_cacertfile /etc/ssl/certs/CA.pem
tls_cacertdir /etc/ssl/certs
но это, кажется, ничего не меняет. Глядя на strace команды, она действительно не пытается открыть сертификат ни разу. Перезапись переменной окружения LDAPTLS_CACERT и установка ее в путь сертификата исправляет это временно, но это будет сбрасываться при каждой перезагрузке. Что еще я могу сделать?