使用LDAPS (SSL)！无法初始化TLS [连接错误]：(未知错误代码)

Question

我得到了：

ubuntu20:~$ sudo /usr/sbin/adcli join --verbose --domain vmmachine.cat --domain-realm VMMACHINE.CAT --use-ldaps --domain-controller 172.16.86.147 --login-type user --login-user test1@VMMACHINE.CAT
 * Using domain name: vmmachine.cat
 * Calculated computer account name from fqdn: UBUNTU20
 * Using domain realm: vmmachine.cat
 * Sending NetLogon ping to domain controller: 172.16.86.147
 ! Couldn't perform discovery search: Can't contact LDAP server
 * Using LDAPS to connect to 172.16.86.147
 ! Couldn't initialize TLS [Connect error]: (unknown error code)
adcli: couldn't connect to vmmachine.cat domain: Couldn't initialize TLS [Connect error]: (unknown error code)

/etc/ldap/ldap.conf：

ubuntu20:~$ cat /etc/ldap/ldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=vmmachine,dc=cat
#wURI   ldaps://vmmachine.cat:636

#SIZELIMIT  12
#TIMELIMIT  15
#DEREF      never

# TLS certificates (needed for GnuTLS)
TLS_CACERT  /home/testuser/Desktop/win-ad2019-ldaps.pem
TLS_REQCERT try

我想加入使用ldap ssl的Active Directory域，但是我有一些问题，有什么建议吗？

Answer 1

·根据您从“‘/home/testuser/Desktop/win-ad2019-ldaps.pem’.”文件中发布的日志，它指出证书无法按照您声明的路径(即ldap.conf)进行验证。日志文件中的“TLS_REQCERT尝试”输出本身声明它请求服务器证书，如果没有提供证书，会话将正常进行，如果提供了错误的证书，会话将立即终止。

因此，关于LDAP协议的SSL连接的证书无法在该路径中正确验证和验证，以便启动连接的LDAP SSL。请确保SSL证书是正确的，根据要联系的域控制器所需的配置以及域连接过程中要启动的连接。

·请确保TCP动态端口(即49152 - 65535 )是从客户端打开并允许的，而LDAP SSL TCP 636端口是从服务器端打开的，以便为域连接目的对域控制器进行netlogon通信。

有关openLDAP SSL配置的更多细节，请查找以下链接：-

https://www.openldap.org/software//man.cgi?query=ldap.conf&sektion=5&apropos=0&manpath=OpenLDAP+2.4-Release