Не работает репликация openldap tls. В чем причина?

Question

Дмитрий Айткулов @Scarfase1989

Не работает репликация openldap tls. В чем причина?

Добрый день! Имеются два сервера на centos 7. На них крутится openldap. Настраивал от сюда. Имена серверов Main и reserv. Между ними настроена репликация, настраивал от сюда. На Main сервере настроен tls пока что саморучно, настраивал от сюда позже купим нормальный сертификат.
Встала задача сделать репликацию по tls. В этом проблема.
Что было сделано:
В конфиге reserv сервера прописывал

starttls=yes
   tls_cert=/etc/openldap/certs/ldap.crt
   tls_key=/etc/openldap/certs/ldap.key
   tls_cacert=/etc/openldap/certs/ca-bundle.crt
   tls_reqcert=demand

назначал владельца сертификатам ldap.
указывал работать по протоколу
ldaps://host:636 и ldaps://host:389
Не работает, ни каким образом.
Пытался в ручную импортировать сертификаты в ОС - выдавало ошибку.
Заметил что где то люди используют сертификаты .pem а где то .crt.
.pem сертификаты еще не использовал.
Ткните носом в правильный конфиг.
Заранее всем спасибо!

Вопрос задан более трёх лет назад
443 просмотра

2 комментария

Подписаться 3 Оценить 2 комментария

Решения вопроса 1

10 комментариев

Дмитрий Айткулов @Scarfase1989 Автор вопроса

ну как я понимаю на сервер reserv нужно добавить корневой сертификат main сервера, чтобы он начал понимать шифрованый трафик. На винде я так делал чтобы подключится к серверу ldap через ssl и получить адресную книгу. Но так как познаний в линуксе не особо много не пойму как это реализовать правильно.

Написано более трёх лет назад
3vi1_0n3 @3vi1_0n3

Дмитрий Айткулов: И корневой сертификат самого reserv-сервера. Если они у вас подписаны одним корневым, то его, соответственно, один раз. Попробуйте сначала из командой строки с резервного сервера подключиться к основному при помощи ldapsearch, проверьте, что TLS работает.

Написано более трёх лет назад
Дмитрий Айткулов @Scarfase1989 Автор вопроса

а в конфиге мне что прописывать для подключения репликации?!

Написано более трёх лет назад
3vi1_0n3 @3vi1_0n3

Дмитрий Айткулов: Если я правильно понимаю, что вы сделали - вы просто добавили поддержку LDAPS на резервный сервер. Вам надо настроить сначала TLS на основном сервере, потом проверить из консоли, что TLS работает, а потом, соответственно, настроить так, как по одной ссылке в вопросе написано. Но при этом поменять там provider=ldap://10.0.0.30:389/ на provider=ldaps://10.0.0.30:636/. Как-то так

Написано более трёх лет назад
Дмитрий Айткулов @Scarfase1989 Автор вопроса

хорошо, завтра протестим. Спасибо!!!

Написано более трёх лет назад
Дмитрий Айткулов @Scarfase1989 Автор вопроса

Пробовал всякие варианты с установкой корневого сертификата, ничего не помогало. После того как настроил reserv сервер на работу ssl(создал его собственные сертификаты) все заработало. Даже и не знаю в чем была причина

Написано более трёх лет назад
Дмитрий Айткулов @Scarfase1989 Автор вопроса

Кстати последний вопрос в секции пароля при настройке репликации
credentials=password
возможно ли его указать в шифрованном виде? А то чет как то страшно

Написано более трёх лет назад
3vi1_0n3 @3vi1_0n3
Дмитрий Айткулов: Вроде бы можно. Сначала сгенерить при помощи slappasswd, а потом в таком виде и подставить.
$ slappasswd -s pass123 {SSHA}AWfhDnqpI9vgPe9tHLF2YF/nDDK28iFl

Вставить всё, вместе с {SSHA}.
Написано более трёх лет назад
Дмитрий Айткулов @Scarfase1989 Автор вопроса

я пробовал так сделать, не работает((( есть еще варианты скрыть пароль?!

Написано более трёх лет назад
3vi1_0n3 @3vi1_0n3

Дмитрий Айткулов: Хм. Хороший вопрос, не готов сказать. Можно права доступа к файлу конфигурации slapd выставить таким образом, чтобы кроме пользователя, от которого работает slapd (и рута, естественно), никто файл читать не мог. Или использовать аутентификацию при помощи сертификатов. Или использовать SASL.

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+1 ещё

Средний
Astra Linux — как избавиться от шума в HDD?
- 1 подписчик
- час назад
- 50 просмотров
2

ответа
Linux

+2 ещё

Простой
Что выбрать для проекта Windows Embedded или Linux?
- 1 подписчик
- 6 часов назад
- 111 просмотров
4

ответа
Linux

+1 ещё

Средний
Как переименовать файлы и папки с одинаковым именем, но разным регистром?
- 1 подписчик
- 8 часов назад
- 77 просмотров
0

ответов
Linux

Простой
Почему не отрабатывает REISUB?
- 1 подписчик
- 14 часов назад
- 58 просмотров
1

ответ
Linux

+1 ещё

Средний
Как выглядят данные об авторизации linux?
- 1 подписчик
- 21 час назад
- 139 просмотров
2

ответа
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- 21 час назад
- 89 просмотров
2

ответа
Linux

Средний
При включении установочника Astra Linux — выдаёт ошибку «Error:out of memory», что делать?
- 2 подписчика
- вчера
- 241 просмотр
3

ответа
Docker

+2 ещё

Простой
Как подружить Zabbix-agent 2 и zabbix-server?
- 1 подписчик
- вчера
- 81 просмотр
3

ответа
Linux

+1 ещё

Средний
Какой выбрать socks прокси и как правильно его настроить для большого количества юзеров?
- 2 подписчика
- вчера
- 104 просмотра
1

ответ
Linux

+1 ещё

Средний
Как распарсить вывод ifconfig/ip, чтобы показывало имя интерфейса, отвечающее за беспроводную сеть?
- 1 подписчик
- вчера
- 106 просмотров
3

ответа
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Системный администратор Linux (SysOps)

Sipuni

от 180 000 ₽

Необходимо настроить подключение OPEN vpn

18 апр. 2024, в 19:44

1000 руб./за проект

Сделать парсер мегамаркет

18 апр. 2024, в 19:21

18000 руб./за проект

Доработка тикет сейл системы на laravel/attendize

18 апр. 2024, в 19:14

25000 руб./за проект

.crt называют файл сертификата, внутри он обычно в формате PEM. У вас вообще LDAPS работает? Аутентификация через него проходит? Отрабатывает ли StartTLS? Вы представляете, как это должно работать или пока не очень?
через ldapadmin я могу подключится всеми возможными вариантами. Но как это работает представляю тольло в теории и то смутно

Answer 1 · 2015-07-10 14:40:53

Вообще надо как-то более подробно смотреть. Но самое первое, что я бы проверил, есть ли корневой сертификат, которым подписан сертификат сервера, в файле из настройки tls_cacert.
> Пытался в ручную импортировать сертификаты в ОС - выдавало ошибку
Непонятно, как вы и в какую ОС импортировали и какие сертификаты. Чтобы в системе стал доступен корневой сертификат, которым подписан сертификат сервера, надо корневой сертификат положить в /etc/pki/tls/certs и сделать хэш-линк таким образом:

sudo ln -s ваш-корневой-сертификат.crt `openssl x509 -noout -hash -in ваш-корневой-сертификат.crt`

И проверить потом серверный сертификат при помощи
openssl verify ваш-сертификат-сервера.crt
P.S.: И настройки фаервола проверьте

Не работает репликация openldap tls. В чем причина?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт