openldap – 在ldap-2.4中启用TLS后无法使用EXTERNAL身份验证
|
我使用以下LDIF文件来激活LDAP服务器的TLS支持:
dn: cn=config changetype: modify add: olcTLSCipherSuite olcTLSCipherSuite: NORMAL - add: olcTLSCRLCheck olcTLSCRLCheck: none - add: olcTLSVerifyClient olcTLSVerifyClient: never - add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/CA.crt - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/server.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/key.pem 并使用以下LDIF强制客户端连接的TLS用法: dn: cn=config changetype: modify add: olcSecurity olcSecurity: tls=1 在此之后,我不能再使用“-Y EXTERNAL”来读取或修改配置架构.例如,如果我运行,我会收到SASL错误: $sudo ldapsearch -Q -Y EXTERNAL -H ldapi:/// -b "" -LLL -s base -Z supportedSASLMechanisms
ldap_sasl_interactive_bind_s: Authentication method not supported (7)
additional info: SASL(-4): no mechanism available:
如果我检查支持的SASL机制: $sudo ldapsearch -x -H ldapi:/// -b "" -LLL -s base -Z supportedSASLMechanisms dn: supportedSASLMechanisms: DIGEST-MD5 supportedSASLMechanisms: CRAM-MD5 supportedSASLMechanisms: NTLM supportedSASLMechanisms: PLAIN supportedSASLMechanisms: LOGIN 我真的看不到列表中包含的EXTERNAL.我在这里想念的是什么? 这是在Ubuntu-12.04和slapd-2.4.31上.
如果无法访问正在运行的配置,则必须停止slapd并离线编辑配置.
>停止slapd:服务slapd停止 mkdir /etc/ldap/slapd.d (以上假设您的配置位于/etc/ldap/slapd.d,这是Debian和Ubuntu中的默认配置.) 请注意,完整LDIF的slapadd应始终在空数据库中完成;因此,如果您犯了错误并且slapadd失败,请确保在再次尝试之前清除部分数据库. 您可以在the OpenLDAP Admin Guide以及相关手册页中找到更多信息. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |