activation du support ldaps, obtention d'une erreur spécifique à la mise en œuvre

Système: Ubuntu 16.04 exécutant OpenLDAP 2.4.42

Je suis en train de suivre le didacticiel pour configurer OpenLDAP pour TLS. Le file LDIF que j'ai fini par créer est le suivant:

dn: cn=config changetype: modify replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/mysite_slapd_key.pem - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mysite_slapd_cert.pem 

La question est que lorsque je cours sudo ldapmodify -H ldapi:/// -Y EXTERNAL -f myFile.ldif , j'ai l'erreur suivante:

 $ sudo ldapmodify -H ldapi:/// -Y EXTERNAL -f myFile.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "cn=config" ldap_modify: Other (eg, implementation specific) error (80) 

J'ai google pour ça et je me suis heurté à cette publication de défaut de server . J'ai tout essayé dans les réponses là-bas, mais j'ai toujours l'erreur.

Pour élaborer, /etc/ssl/certs/mysite_slapd_cert.pem appartient au groupe ssl-cert , dont openldap est membre, tout comme les instructions sur la page Ubuntu spécifiées. Essentiellement, j'ai exécuté ces commands:

 sudo adduser openldap ssl-cert sudo chgrp ssl-cert /etc/ssl/private/mysite_slapd_key.pem sudo chmod g+r /etc/ssl/private/mysite_slapd_key.pem sudo chmod or /etc/ssl/private/mysite_slapd_key.pem 

Vous findez ci-dessous la sortie de slapd lors de l'exécution en mode -d 65 (comme suggéré dans l'une des réponses à l'autre message server par défaut):

 57c8c219 slap_listner_activate(8): 57c8c219 >>> slap_listner(ldapi:///) 57c8c219 connection_get(15): got connid=1000 57c8c219 connection_read(15): checking for input on id=1000 ber_get_next ber_get_next: tag 0x30 len 24 contents: 57c8c219 op tag 0x60, time 1472774681 ber_get_next 57c8c219 conn=1000 op=0 do_bind ber_scanf fmt ({imt) ber: ber_scanf fmt ({m) ber: ber_scanf fmt (m) ber: ber_scanf fmt (}}) ber: 57c8c219 >>> dnPrettyNormal: <> 57c8c219 <<< dnPrettyNormal: <>, <> 57c8c219 do_bind: dn () SASL mech EXTERNAL 57c8c219 ==>slap_sasl2dn: converting SASL name gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth to a DN 57c8c219 <==slap_sasl2dn: Converted SASL name to <nothing> 57c8c219 SASL Authorize [conn=1000]: proxy authorization allowed authzDN="" 57c8c219 send_ldap_sasl: err=0 len=-1 57c8c219 do_bind: SASL/EXTERNAL bind: dn="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" sasl_ssf=0 57c8c219 send_ldap_response: msgid=1 tag=97 err=0 ber_flush2: 14 bytes to sd 15 57c8c219 <== slap_sasl_bind: rc=0 57c8c219 connection_get(15): got connid=1000 57c8c219 connection_read(15): checking for input on id=1000 ber_get_next ber_get_next: tag 0x30 len 245 contents: 57c8c219 op tag 0x66, time 1472774681 ber_get_next 57c8c219 conn=1000 op=1 do_modify ber_scanf fmt ({m) ber: ber_scanf fmt ({e{m[W]}}) ber: ber_scanf fmt ({e{m[W]}}) ber: ber_scanf fmt ({e{m[W]}}) ber: 57c8c219 >>> dnPrettyNormal: <cn=config> 57c8c219 <<< dnPrettyNormal: <cn=config>, <cn=config> 57c8c219 oc_check_required entry (cn=config), objectClass "olcGlobal" 57c8c219 oc_check_allowed type "objectClass" 57c8c219 oc_check_allowed type "cn" 57c8c219 oc_check_allowed type "olcArgsFile" 57c8c219 oc_check_allowed type "olcLogLevel" 57c8c219 oc_check_allowed type "olcPidFile" 57c8c219 oc_check_allowed type "olcToolThreads" 57c8c219 oc_check_allowed type "structuralObjectClass" 57c8c219 oc_check_allowed type "entryUUID" 57c8c219 oc_check_allowed type "creatorsName" 57c8c219 oc_check_allowed type "createTimestamp" 57c8c219 oc_check_allowed type "olcTLSCACertificateFile" 57c8c219 oc_check_allowed type "olcTLSCertificateKeyFile" 57c8c219 oc_check_allowed type "olcTLSCertificateFile" 57c8c219 oc_check_allowed type "entryCSN" 57c8c219 oc_check_allowed type "modifiersName" 57c8c219 oc_check_allowed type "modifyTimestamp" 57c8c219 send_ldap_result: conn=1000 op=1 p=3 57c8c219 send_ldap_response: msgid=2 tag=103 err=80 ber_flush2: 14 bytes to sd 15 57c8c219 connection_get(15): got connid=1000 57c8c219 connection_read(15): checking for input on id=1000 ber_get_next ber_get_next: tag 0x30 len 5 contents: 57c8c219 op tag 0x42, time 1472774681 ber_get_next 57c8c219 conn=1000 op=2 do_unbind 57c8c219 connection_close: conn=1000 sd=15 

  • MIT Kerberos avec backend OpenLDAP - TLS ok lorsque KDC a commencé de façon interactive mais le script init échoue
  • Nginx peut-il utiliser différents protocoles pour différents blocs de servers?
  • NGINX peut-il inspecter la request TLS pour searchr SNI comme HAProxy (etc.)?
  • Exim force TLS pour un domaine de destination spécifique
  • comment créer une string de certificate SSL à partir de mon propre CA?
  • Postfix: Autoriser le courrier entrant non authentifié, mais seulement le courrier sortant authentifié?
  • Configuration d'authentification OpenLdap TLS
  • Quel effet le trafic https a-t-il sur les servers proxy de cache Web?
  • Comment configurer TLS sur hMailServer?
  • Erreur d'envoi Postfix: doit exécuter la command STARTTLS
  • Authentification LDAP sécurisée avec Active Directory
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.