3

我正在尝试实现一个使用 LDAP over SSL(SSL,而不是 TLS)的功能,它需要连接到启用 SSL 的 LDAP 服务器(即 OpenLDAP),绑定然后执行任何其他查询。它还需要支持客户端身份验证,这就是事情变得棘手的地方:客户端是一个用 Ruby 编写的 Web 应用程序,我们正在使用 RubyLDAP(到目前为止,我们已经将它用于非 SSL ldap 的东西并取得了巨大的成功)。

我的问题是:在执行 LDAP::SSLConn 时,有没有办法加载客户端证书并将其数据通过线路发送到 LDAP 服务器?我在 API 文档 ( http://ruby-ldap.sourceforge.net/rdoc/ ) 上也没有发现任何明显的东西,也没有在谷歌上搜索。

我知道我可以通过将以下内容放在 slapd.conf (OpenLDAP) 上来阻止服务器请求证书:

TLSVerifyClient never

但是,这不是一个选项。

谢谢,

马塞洛。

4

1 回答 1

0

我不知道这是否仍然相关。您需要客户证书吗?您还可以在 openldap 中使用绑定用户和acl 。这在你的 openldap 服务器中比客户端证书更容易和管理。

要启用客户端 ssl,您需要将 ruby​​-ldap 指向正确的 CA 证书,即为您的服务器证书颁发证书的证书。在您的客户端上,在/etc/openldap/ldap.conf

TLS_CACERT /etc/ssl/yourldapsca.pem
于 2019-12-24T07:31:12.750 回答