Ao tentar fazer conexões ldaps com o servidor Novel eDirectory 8.8, às vezes tenho que colocar TLS_REQCERT never
o arquivo ldap.conf dos servidores clientes. Obviamente, essa é uma má ideia.
O comando que eu executo é algo assim com credenciais que realmente funcionam ...
ldapsearch -x -H ldaps://ldapserver -b 'ou=active,ou=people,dc=example,dc=org' -D 'cn=admin,dc=example,dc=org' -W "cn=username"
No Ubuntu 13.10, ele funciona bem.
No SLES, ele funciona bem.
No CentOS 6.5, ele retorna:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Agora, o certificado que importei é um certificado curinga adquirido da DigiCert. Meu colega de trabalho encontrou alguns relatórios indicando que alguns sistemas têm problemas com caracteres curinga.
Então, o certificado curinga é o culpado? Se sim, como faço para corrigir isso?
Se não é o certificado curinga, o que é?
Seguindo a sugestão de Andrew Schulman, adicionei -d1
ao meu comando ldapsearch. Aqui está o que eu acabei com:
ldap_url_parse_ext(ldaps://ldap.example.org)
ldap_create
ldap_url_parse_ext(ldaps://ldap.example.org:636/??base)
Enter LDAP Password:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP ldap.example.org:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.225.0.24:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
TLS: certdb config: configDir='/etc/openldap' tokenDescription='ldap(0)' certPrefix='cacerts' keyPrefix='cacerts' flags=readOnly
TLS: cannot open certdb '/etc/openldap', error -8018:Unknown PKCS #11 error.
TLS: could not get info about the CA certificate directory /etc/openldap/cacerts - error -5950:File not found.
TLS: certificate [CN=DigiCert High Assurance EV Root CA,OU=www.digicert.com,O=DigiCert Inc,C=US] is not valid - error -8172:Peer's certificate issuer has been marked as not trusted by the user..
TLS: error: connect - force handshake failure: errno 2 - moznss error -8172
TLS: can't connect: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user..
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Pelo que diz, o CentOS não confia no DigiCert? Ou o CentOS não possui uma lista de emissores confiáveis?
telnet ldapserver ldaps
ouopenssl s_client -connect ldapserver:636
.