인증서 업그레이드 후 LDAP 인증이 start_tls 옵션과 함께 작동하지 않음

ldap.conf 파일에서 ssl start_tls 옵션을 활성화하여 클라이언트에서 Ubuntu LDAP 인증이 작동하지 않습니다. ssl start_tls를 주석 처리하면 인증 할 수 있습니다.

ldap 서버 인증서를 업그레이드 한 후 ssl이 활성화되어 있으면 사용자가 더 이상 ubuntu 10.04 클라이언트 컴퓨터에서 인증 할 수 없습니다. 발생한 변경 사항 :

Cert upgraded from 1024 to 2048 bit
now is a wildcart cert and use it to be a self-signed cert
encryption algorithm is now shaw512 (use to be md5)

내 auth.log에 몇 가지 오류가 있습니다.

nss-ldap : do_open : do_start_tls 실패 : stat = -1

새 인증서 (이전 centOS 시스템)를 사용하여 인증하는 다른 클라이언트가 있기 때문에 새 인증서가 작동합니다.

아무도 내 클라이언트에서 ldap과 함께 더 이상 SSL을 사용할 수없는 아이디어가 있습니까?

서명 계층이 있습니까 (즉, 자체 서명되지 않은)? "와일드 카드"및 "자체 서명"은 배타적이지 않습니다. 상업용 와일드 카드 인증서에는 계층 구조, 즉 하나 이상의 중간 CA 및 루트 CA가 있습니다.

sha-512 또는 md5는 인증서 서명에 사용 된 해시 이며 암호화 알고리즘 이 아닙니다 . 이들은 인증서 무결성을 확인하는 데 사용되며 연결에 사용되는 암호는 이것과 독립적으로 협상됩니다.

우분투 10에서는 sha512 (보다 정확하게는 "sha512WithRSAEncryption")가 지원되지 않는 것 같습니다. 또는 머신에 하나 이상의 CA 인증서 (중간 또는 루트)가 누락되어 전체 체인 확인을 완료 할 수 없습니다.

openssl이 Ubuntu 10 컴퓨터에서 다음을 실행하여 서버의 새 인증서를 처리 할 수 ​​있는지 확인할 수 있습니다.

openssl x509 -in newservercert.crt -noout -text

비록 결정적이지 않을 수도 있습니다. 도움이 될 수도 있습니다.

ldapsearch -x -Z -v -h your.ldap.server

(OpenSSL 대신 GnuTLS를 사용할 가능성이 적습니다. 죄송합니다.)

/etc/ldap/ldap.conf 파일에이를 추가하여 체인 문제를 확인하거나 거부 할 수 있습니다.

TLS_REQCERT never

도움이되는 경우 누락 된 체인 부분을 가져 와서 로컬 저장소에 추가해야합니다.이 방법은 클라이언트 구성에 따라 / TLS_CACERT 및 / 또는 /etc/ldap/ldap.conf에서 TLS_CACERTDIR을 확인하는 방법에 따라 다릅니다. 지시문은 시작하는 곳입니다.

덜 가능한 원인은 다음과 같습니다.

• CRL을 확인할 수 없음 (ldap.conf에서 활성화되어 있는지 확인)

그리고 다른 변경 사항이 없다고 가정하면 완성을 위해 불가피한 원인이 포함됩니다.

• 클라이언트가 지원하지 않는 서버 프로토콜 버전 또는 암호 세트
• 지원되는 SASL 메커니즘 변경

이 질문을 해결했는지 확실하지 않습니다. 나는 같은 상황에 직면했다. 12.04는 tls를 사용하여 LDAP 서버에 연결하지만 10.04는 연결하지 않습니다. 내 솔루션은 다음 줄을 추가하는 것입니다 /etc/ldap/ldap.conf.

TLS_CACERT      /etc/ssl/certs/ca-certificates.crt

10.04 클라이언트는 tls를 사용하여 LDAP 서버에 연결할 수 있습니다.