openLDAP 代理因 ldaps 而失败
openLDAP Proxy fails with ldaps
这个问题让我有点抓狂。
我正在尝试将 openLDAP 代理配置到 Active Directory,只要我对 AD 使用未加密的 ldap,它就可以正常工作。但我想通过 LDAP 保护代理和 AD 之间的连接。
让我发疯的是,在我为代理本身启用 LDAP 之前,这一直有效。现在我无法获取它 运行,即使我撤消了我的更改。
这是 slapd.conf 的样子:
# Include schemas
include /etc/openldap/schema/corba.schema
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/duaconf.schema
include /etc/openldap/schema/dyngroup.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/ppolicy.schema
include /etc/openldap/schema/collective.schema
include /etc/openldap/schema/local.schema
allow bind_v2
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
modulepath /usr/lib/openldap
modulepath /usr/lib64/openldap
moduleload back_ldap
moduleload rwm
loglevel 256
#LDAPS Settings
TLSCipherSuite HIGH:MEDIUM:-SSLv3
TLSCertificateFile /etc/openldap/cacerts/server.crt
TLSCertificateKeyFile /etc/openldap/cacerts/server.key
TLSCACertificateFile /etc/openldap/cacerts/CAs.pem
### Database definition (Proxy to AD) #########################################
database ldap
readonly no
protocol-version 3
rebind-as-user
uri "ldaps://ad-server.internal.de:636"
suffix "dc=ad,dc=internal,dc=de"
现在,当我搜索时,出现以下错误(ldaps 或 ldap)。
当我将 uri 更改为“ldap://ad-server.internal.de:389”
时,两个查询都工作正常
ldapsearch -h localhost:389 -D "CN=admin,OU=User,DC=ad,DC=internal,DC=de" -W -b DC=ad,DC=internal,DC=de '(objectclass=person)'
ldapsearch -H ldaps://localhost:636 -D "CN=admin,OU=User,DC=ad,DC=internal,DC=de" -W -b DC=ad,DC=internal,DC=de '(objectclass=person)'
=>
ldap_bind: Server is unavailable (52)
additional info: Proxy operation retry failed
这不是证书错误,因为来自同一主机的直接 ldapsearch 工作正常:
ldapsearch -H ldaps://ad-server.internal.de:636 -D "CN=admin,OU=User,DC=ad,DC=internal,DC=de" -W -b DC=ad,DC=internal,DC=de '(objectclass=person)'
日志是这样的:
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 fd=12 ACCEPT from IP=127.0.0.1:47458 (IP=0.0.0.0:389)
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 op=0 BIND dn="cn=admin,ou=User,dc=ad,dc=internal,dc=de" method=128
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 op=0 ldap_back_retry: retrying URI="ldaps://ad-server.internal.de:636" DN=""
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 op=0 RESULT tag=97 err=52 text=Proxy operation retry failed
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 op=1 UNBIND
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 fd=12 closed
如果知道为什么会发生这种情况,我们将不胜感激。
编辑:
我做了更多的挖掘,它实际上似乎是一个证书问题。连接的 tcpdump returns 此错误:
TLSv1.2 Record Layer: Alert (Level: Fatal, Description: Unknown CA)
AD 证书是自签名的,不幸的是我对此没有发言权,所以我无法更改它。
在标准配置中,当 运行 ldapsearch 时我得到同样的错误。我可以获得 ldapsearch 运行 两种方法:
- 在ldap.conf
中设置TLS_REQCERT never
- 设置环境变量
LDAPTLS_REQCERT=never
我知道这不理想,但这不是最终配置,我只想先得到它运行。
然而 slapd 似乎忽略了两者,因为我在 tcpdump 中仍然遇到同样的错误,slapd 调试仍然给我以下信息:
TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:SSLv3 read server hello A
TLS certificate verification: depth: 0, err: 20, subject: /CN=ad-server.internal.de, issuer: /CN=ad-server.internal.de
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: can't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
我尝试将自签名证书添加到 ldap.conf 和 openssl 的可信锚点,但都没有用。我还注意到我无法让 openssl 验证自签名证书,而我可以在我的 PC 上做同样的事情...
我的电脑:
$ openssl version
OpenSSL 1.1.1h 22 Sep 2020
$ openssl verify server.crt
error server.crt: verification failed
CN = ad-server.internal.de
error 18 at 0 depth lookup: self signed certificate
$ openssl verify -CAfile server.crt server.crt
server.crt: OK
在服务器上时 (REHL 7.9):
$ openssl version
OpenSSL 1.0.2k-fips 26 Jan 2017
$ openssl verify server.crt
server.crt: CN = ad-server.internal.de
error 20 at 0 depth lookup: unable to get local issuer certificate
$ openssl verify -CAfile server.crt server.crt
server.crt: CN = ad-server.internal.de
error 20 at 0 depth lookup: unable to get local issuer certificate
据我所知,我 PC 上的结果是自签名证书的预期行为。我已经检查过了,但它是 RHEL 7.9
上可用的最新版本
所以有没有人知道我该怎么做
- 获取 SLAPD 以遵守 TLS_REQCERT 或 LDAPTLS_REQCERT 设置或
- openssl 验证自签名证书
谢谢!
我终于找到了忽略证书验证错误的可能性。这不是最佳解决方案,但由于 RHEL7.9 版本中的自签名证书和 openssl 问题,我现在已经满足于拥有它 运行。那么最终的解决方案应该是让AD部门从我们的CA那里得到证书,虽然我不知道我是否可以说服他们这样做。
因此,虽然 LDAP 代理似乎忽略了 ldap.conf 中的 TLS_REQCERT none 设置,但可以直接在 slapd.conf 中执行此操作:
### Database definition (Proxy to AD) #########################################
database ldap
readonly no
protocol-version 3
rebind-as-user
uri "ldaps://ad-server.internal.de:636"
suffix "dc=ad,dc=internal,dc=de"
tls start tls_reqcert=never
最后一行消除了验证错误。
这个问题让我有点抓狂。 我正在尝试将 openLDAP 代理配置到 Active Directory,只要我对 AD 使用未加密的 ldap,它就可以正常工作。但我想通过 LDAP 保护代理和 AD 之间的连接。
让我发疯的是,在我为代理本身启用 LDAP 之前,这一直有效。现在我无法获取它 运行,即使我撤消了我的更改。
这是 slapd.conf 的样子:
# Include schemas
include /etc/openldap/schema/corba.schema
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/duaconf.schema
include /etc/openldap/schema/dyngroup.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/ppolicy.schema
include /etc/openldap/schema/collective.schema
include /etc/openldap/schema/local.schema
allow bind_v2
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
modulepath /usr/lib/openldap
modulepath /usr/lib64/openldap
moduleload back_ldap
moduleload rwm
loglevel 256
#LDAPS Settings
TLSCipherSuite HIGH:MEDIUM:-SSLv3
TLSCertificateFile /etc/openldap/cacerts/server.crt
TLSCertificateKeyFile /etc/openldap/cacerts/server.key
TLSCACertificateFile /etc/openldap/cacerts/CAs.pem
### Database definition (Proxy to AD) #########################################
database ldap
readonly no
protocol-version 3
rebind-as-user
uri "ldaps://ad-server.internal.de:636"
suffix "dc=ad,dc=internal,dc=de"
现在,当我搜索时,出现以下错误(ldaps 或 ldap)。 当我将 uri 更改为“ldap://ad-server.internal.de:389”
时,两个查询都工作正常ldapsearch -h localhost:389 -D "CN=admin,OU=User,DC=ad,DC=internal,DC=de" -W -b DC=ad,DC=internal,DC=de '(objectclass=person)'
ldapsearch -H ldaps://localhost:636 -D "CN=admin,OU=User,DC=ad,DC=internal,DC=de" -W -b DC=ad,DC=internal,DC=de '(objectclass=person)'
=>
ldap_bind: Server is unavailable (52)
additional info: Proxy operation retry failed
这不是证书错误,因为来自同一主机的直接 ldapsearch 工作正常:
ldapsearch -H ldaps://ad-server.internal.de:636 -D "CN=admin,OU=User,DC=ad,DC=internal,DC=de" -W -b DC=ad,DC=internal,DC=de '(objectclass=person)'
日志是这样的:
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 fd=12 ACCEPT from IP=127.0.0.1:47458 (IP=0.0.0.0:389)
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 op=0 BIND dn="cn=admin,ou=User,dc=ad,dc=internal,dc=de" method=128
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 op=0 ldap_back_retry: retrying URI="ldaps://ad-server.internal.de:636" DN=""
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 op=0 RESULT tag=97 err=52 text=Proxy operation retry failed
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 op=1 UNBIND
Jun 09 12:06:06 adproxy.internal.de slapd[94952]: conn=1000 fd=12 closed
如果知道为什么会发生这种情况,我们将不胜感激。
编辑:
我做了更多的挖掘,它实际上似乎是一个证书问题。连接的 tcpdump returns 此错误:
TLSv1.2 Record Layer: Alert (Level: Fatal, Description: Unknown CA)
AD 证书是自签名的,不幸的是我对此没有发言权,所以我无法更改它。
在标准配置中,当 运行 ldapsearch 时我得到同样的错误。我可以获得 ldapsearch 运行 两种方法:
- 在ldap.conf 中设置
- 设置环境变量
LDAPTLS_REQCERT=never
TLS_REQCERT never
我知道这不理想,但这不是最终配置,我只想先得到它运行。
然而 slapd 似乎忽略了两者,因为我在 tcpdump 中仍然遇到同样的错误,slapd 调试仍然给我以下信息:
TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:SSLv3 read server hello A
TLS certificate verification: depth: 0, err: 20, subject: /CN=ad-server.internal.de, issuer: /CN=ad-server.internal.de
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: can't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
我尝试将自签名证书添加到 ldap.conf 和 openssl 的可信锚点,但都没有用。我还注意到我无法让 openssl 验证自签名证书,而我可以在我的 PC 上做同样的事情...
我的电脑:
$ openssl version
OpenSSL 1.1.1h 22 Sep 2020
$ openssl verify server.crt
error server.crt: verification failed
CN = ad-server.internal.de
error 18 at 0 depth lookup: self signed certificate
$ openssl verify -CAfile server.crt server.crt
server.crt: OK
在服务器上时 (REHL 7.9):
$ openssl version
OpenSSL 1.0.2k-fips 26 Jan 2017
$ openssl verify server.crt
server.crt: CN = ad-server.internal.de
error 20 at 0 depth lookup: unable to get local issuer certificate
$ openssl verify -CAfile server.crt server.crt
server.crt: CN = ad-server.internal.de
error 20 at 0 depth lookup: unable to get local issuer certificate
据我所知,我 PC 上的结果是自签名证书的预期行为。我已经检查过了,但它是 RHEL 7.9
上可用的最新版本所以有没有人知道我该怎么做
- 获取 SLAPD 以遵守 TLS_REQCERT 或 LDAPTLS_REQCERT 设置或
- openssl 验证自签名证书
谢谢!
我终于找到了忽略证书验证错误的可能性。这不是最佳解决方案,但由于 RHEL7.9 版本中的自签名证书和 openssl 问题,我现在已经满足于拥有它 运行。那么最终的解决方案应该是让AD部门从我们的CA那里得到证书,虽然我不知道我是否可以说服他们这样做。
因此,虽然 LDAP 代理似乎忽略了 ldap.conf 中的 TLS_REQCERT none 设置,但可以直接在 slapd.conf 中执行此操作:
### Database definition (Proxy to AD) #########################################
database ldap
readonly no
protocol-version 3
rebind-as-user
uri "ldaps://ad-server.internal.de:636"
suffix "dc=ad,dc=internal,dc=de"
tls start tls_reqcert=never
最后一行消除了验证错误。