在slapd上使用SSL

Question

我将slapd设置为在Fedora 14上使用SSL。我在/etc/openldap/slapd.d/cn=config.ldif中有以下内容：

olcTLSCACertificateFile: /etc/pki/tls/certs/SSL_CA_Bundle.pem
olcTLSCertificateFile: /etc/pki/tls/certs/mydomain.crt
olcTLSCertificateKeyFile: /etc/pki/tls/private/mydomain.key
olcTLSCipherSuite: HIGH:MEDIUM:-SSLv2
olcTLSVerifyClient: demand

以及我的/etc/sysconfig/ldap中的以下内容：

SLAPD_LDAP=no
SLAPD_LDAPS=yes

在我的ldap.conf文件中

BASE    dc=mydomain,dc=com
URI ldaps://localhost
TLS_CACERTDIR /etc/pki/tls/certs
TLS_REQCERT allow

但是，当我连接到localhost时，ldapsearch返回以下内容：

ldap_initialize( <DEFAULT> )
ldap_create
Enter LDAP Password: 
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP localhost:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 127.0.0.1:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
TLS: loaded CA certificate file /etc/pki/tls/certs/978601d0.0 from CA certificate directory /etc/pki/tls/certs.
TLS: loaded CA certificate file /etc/pki/tls/certs/b69d4130.0 from CA certificate directory /etc/pki/tls/certs.
TLS certificate verification: defer
TLS: error: connect - force handshake failure: errno 0 - moznss error -12271
TLS: can't connect: .
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

我有什么不正确？

Answer 1

检查您的服务器日志，但我相信您的问题在于olcTLSVerifyClient: demand --这要求您的客户端在握手期间向服务器出示证书以验证自己，除非您在那里拥有一个证书(服务器认为这是可以接受的)，否则您将不被允许连接。

您可能还想仔细阅读本站 (或这一个)，其中包含关于OpenLDAP & TLS (SSL)的详细信息--您的配置与我熟悉的示例略有不同。

Answer 2

如果您希望客户端使用证书来标识自己，则需要告诉客户端要使用什么证书。man ldap.conf给TLS_CERT和TLS_KEY