LDP SSL Port 636 Works – ldaps: // non lo fa

Sto cercando di utilizzare ldap con ssl su Server 2008 R2. Ho tutto impostato e sono in grado di connettersi utilizzando ldp.exe alla port di domain.example.org 636 con la casella di controllo ssl. Questo è sul server locale stesso.

Tuttavia – non riesco a connettersi usando ldapsearch usando ssl e la port 636. Nessun ssl e la port 389 funzionano bene usando ldapsearch.

  • Come disabilitare SSLv2 per Apache httpd
  • Il servizio DHCP di Windows 2008 non riesce - "... non è stato ansible vedere un server di directory per l'authorization".
  • Caricamento nativo di Virtualbox Image
  • revers proxy http -> https?
  • Quando i router comunicano con HTTPS, come viene confermata la loro identity framework;?
  • Se la modifica del nome utente amministratore ha effetto l'altra impostazione nel mio Windows Server 2008 R2?
  • Qualche idea? I miei clienti devono disporre di un certificato installato o qualcosa del genere? Per la maggior parte volevo solo avere collegamenti ldap crittografati. Grazie per qualsiasi aiuto!

    * Modifica *

    Il command che funziona:

     ldapsearch -x -b "dc=XX,dc=example,dc=org" -D "user@example.org" -H ldap://XX.example.org -W '(&(proxyAddresses=smtp*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))' 

    Il command che non funziona:

     ldapsearch -x -b "dc=XX,dc=example,dc=org" -D "user@example.org" -H ldaps://XX.example.org:636 -W '(&(proxyAddresses=smtp*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))' 

    Ho provato le variazioni di -h e usando il -p per specificare la port.

    Come faccio ad installare il certificato dal server 2008 sul client?

    2 Solutions collect form web for “LDP SSL Port 636 Works – ldaps: // non lo fa”

    I tuoi clienti non hanno bisogno del proprio certificato. Dovranno solo fidarsi del certificato dell'Autorità di certificazione (o della catena del certificato) che ha firmato il certificato del server LDAP. Non è necessario preoccuparsi di questo a localhost perché il certificato CA era già attendibile per impostazione predefinita.

    Non è chiaro dalla tua domanda se il server LDAP è anche l'autorità di certificazione e se utilizza il certificato CA come certificato LDAP. Normalmente, questi sono due certificati diversi e l'autorità di certificazione vive su una macchina diversa.

    Alcuni rapidi google'ing indicano che è ansible impostare nel ldap.conf denominato TLS_CACERT o una variabile di ambiente equivalente denominata LDAPTLS_CACERT che è ansible indicare un file contenente tutti i certificati CA nel proprio ambiente (base64 codificato).

    Se si dispone solo di una singola CA nel proprio ambiente, è necessario scaricare una versione codificata base64 del suo certificato pubblico. E se si può solo trovare una versione codificata DER, è ansible utilizzare openssl per convertirlo in base64.

     openssl x509 -inform der -in cacert.crt -out cacert.pem 

    Purtroppo, il suo è il comportmento previsto. LDAP è solo strano in questo modo, alless per Windows AD. Non esiste alcuna cosa come ldaps , ma se si specifica la cifratura del numero di port accadrà. Prova questo command:

     ldapsearch -x -b "dc=XX,dc=XXX,dc=org" -D "user@XXX.org" -H ldap://XX.XXX.org:636 -W '(&(proxyAddresses=smtp*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))' 

    Per la maggior parte qualsiasi cosa diversa da LDAP, sembra che stai chiedendo un traffico di text normale nella port predefinita del servizio per SSL. LDAP farà il traffico crittografato qui.

    Non mi piace neanche perché rende più difficile verificare che la crittografia sta accadendo. Con una modifica della port, forse è solo l'invio di text semplice sulla port crittografata, ma con uno schema / protocollo esplicito puoi sapere che sta cercando alless. Schemi di protocollo espliciti rendono anche più facile eseguire le cose su porte non standard quando necessario. Ma come o no, questo è il modo in cui è.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.