Configuration d'authentification OpenLdap TLS

J'essaie d'installer openldap sur ubuntu 12.04 en suivant ce guide https://help.ubuntu.com/12.04/serverguide/openldap-server.html

Lorsque j'ai essayé d'activer TLS sur le serveur en créant un crtifié auto-signé tel que décrit dans le guide ci-dessus, j'ai eu l'erreur suivante

Commande que j'ai couru

ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif 

Contenu du fichier ldif

 dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem 

Message d'erreur

 ldap_modify: Inappropriate matching (18) additional info: modify/add: olcTLSCertificateFile: no equality matching rule 

Après des heures de recherche sur google, je n'ai trouvé rien qui explique beaucoup sur cette erreur. Est-ce que quelqu'un a plus d'informations à ce sujet?

Ce sont une SINGLE-VALUE . Utilisez le replace au lieu d' add .

Notez également que les modifications apportées aux attributs peuvent nécessiter un redémarrage de slapd . (Tout n'est pas configurable en temps réel comme nous le souhaiterions.)

Votre schéma est probablement:

 attributeTypes: ( 1.3.6.1.4.1.4203.1.12.2.3.0.70 NAME 'olcTLSCertificateFile' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) attributeTypes: ( 1.3.6.1.4.1.4203.1.12.2.3.0.71 NAME 'olcTLSCertificateKeyFile' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 

Un peu d'explication: ldapmodify add causes slapd pour vous assurer que vous ne mettez pas deux fois l'équivalent d'attributs valie en faisant une égalité. De ce que je peux dire, il devrait utiliser 2.5.13.6 NAME 'caseExactOrderingMatch' , mais je ne suis pas sûr d'avoir déjà essayé une add pour ces attributs. Ce comportement peut être complètement normal.

La façon dont j'active TLS sur un serveur OpenLDAP est de spécifier certaines directives dans le fichier /etc/openldap/slapd.conf, par exemple:

 TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt TLSCertificateFile /etc/pki/tls/certs/servercertificate.cer TLSCertificateKeyFile /etc/pki/tls/certs/privatekey.key 

Cet exemple concerne un certificat signé commercialement mais il s'applique également à un auto-signé. Cela nécessite un redémarrage de OpenLDAP bien que je ne suis pas au courant d'un moyen de demander à OpenLDAP de relire le fichier de configuration sans le redémarrer.