ldapsearch sur ssl/tls ne fonctionne pas
J'essaie d'utiliser la commande ldapsearch plus de connexion ssl/tls, mais ça ne fonctionne pas:
ldapsearch -ZZ -d 5 -b "cn=Users,dc=my,dc=server,dc=com" -s sub -D
"cn=mydevice,cn=Users,dc=my,dc=server,dc=com" -h my.server.com -p 3269
-w "mypass" -x "(cn=test)"
ldap_create
ldap_url_parse_ext(ldap://my.server.com:3269)
ldap_extended_operation_s
ldap_extended_operation
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP my.server.com:3269
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.199.46.70:3269
ldap_connect_timeout: fd: 3 tm: -1 async: 0
ldap_open_defconn: successful
ldap_send_server_request
ber_scanf fmt ({it) ber:
ber_scanf fmt ({) ber:
ber_flush: 31 bytes to sd 3
ldap_result ld 0x95ff590 msgid 1
wait4msg ld 0x95ff590 msgid 1 (infinite timeout)
wait4msg continue ld 0x95ff590 msgid 1 all 1
** ld 0x95ff590 Connections:
* host: my.server.com port: 3269 (default)
refcnt: 2 status: Connected
last used: Mon Feb 27 10:59:43 2012
** ld 0x95ff590 Outstanding Requests:
* msgid 1, origid 1, status InProgress
outstanding referrals 0, parent count 0
** ld 0x95ff590 Response Queue:
Empty
ldap_chkResponseList ld 0x95ff590 msgid 1 all 1
ldap_chkResponseList returns ld 0x95ff590 NULL
ldap_int_select
read1msg: ld 0x95ff590 msgid 1 all 1
ber_get_next
ldap_perror
ldap_start_tls: Can't contact LDAP server (-1)
Le message d'erreur ne donne pas assez de soupçon sur ce qui est mal. En revanche, une simple liaison et de la recherche va bien sans aucun problème sur le port 389.
Tout soupçon?
P. S. Voici mon ldap.conf:
TLS_REQCERT demand
TLS_CACERT ./cacert.pem
J'ai même essayé de changer TLS_REQCERT
à never
, mais cela ne fonctionne toujours pas. 🙁
- Il ne ressemble pas à sa tentative d'utilisation de TLS. Vous pouvez utiliser l'option-H au lieu de cela, avec une URL LDAP: ldapsearch-ZZ -d 5 -b "cn=Users,dc=ma,dc=serveur,dc=com" -s sub-D "cn=mydevice,cn=Users,dc=ma,dc=serveur,dc=com" -H ldap://mon.serveur.com:3269 -w "mypass" -x "(cn=test)"
Vous devez vous connecter pour publier un commentaire.
Tout d'abord, remplacer
-h my.server.com -p 3269
avec-H ldaps://my.server.com:3269
comme suggéré par @dearlbry.Puis, dans
/etc/openldap/ldap.conf
(ou/etc/ldap/ldap.conf
sur mon Ubuntu 13.04), désactiver la vérification du certificat en ajoutant ceci :Vous pouvez également créer un
ldaprc
fichier dans le répertoire courant avec le même contenu, si vous ne voulez pas affecter l'ensemble du système.Cela permettra à la commande ldapsearch sur SSL, mais sans vérification. Suivez ces les étapes pour ajouter un certificat de validation au mélange.