1

我在使用 openLDAP 客户端将安全 (SSL) 连接到 IBM LDAP 服务器时遇到问题。

如下所示的不使用 SSL 的连接可以正常工作:

ldapsearch -h <LDAP server host name> -D <bind dn> -w ? -b <base dn> <filter>

但是,当我添加 -Z 选项以使用安全 LDAP 连接 (SSL) 时,如以下 ldapsearch 所示,会出现错误:

ldapsearch -h <LDAP server host name> -Z -D <bind dn> -w ? -b <base dn> <filter>

错误说:

ldap_simple_bind: Can't contact LDAP server
Attempted communication over SSL.
  The extended error is 116.

在这里,我发现我必须将 ssl start_tls 添加到客户端配置文件(ldap.conf)中才能在 openLDAP 中启用 SSL:http ://www.openldap.org/faq/data/cache/185.html

在阅读了上面的描述之后,我不确定作者是否正在处理一个 openLDAP 客户端和一个 openLDAP 服务器,以及这是否是使连接正常工作必须进行的唯一更改。

这里有人知道是否可以使用 SSL 连接从 openLDAP 客户端连接到 IBM LDAP 服务器?

有没有人有这个话题的经验?

非常感谢!

4

2 回答 2

0

IBM 的网站对此错误进行了讨论。

很多可能性,主要是服务器端,关于密钥不在密钥库中、过期或不使用端口 636。所以你可以看看这个,看看它是否对你有帮助。

于 2013-06-04T13:08:04.177 回答
0

据我所知,OpenSSL 不再在其信任库(即 CA 证书文件)中提供 CA 签名者证书。因此,您必须ldapsearch通过该文件配置 OpenLDAP,.ldaprc或者ldap.conf指定具有 LDAP 服务器签名者证书的信任库的位置。像这样的东西:

TLS_CACERT /usr/ssl/certs/my.ldapserver.certs.pem
# TLS_CACERTDIR /usr/ssl/certs/
TLS_REQCERT never|allow||try|demand|hard

http://www.openldap.org/software/man.cgi?query=ldap.conf&format=html

http://www.openldap.org/faq/data/cache/185.html

更多细节。

于 2013-06-05T03:54:07.883 回答