ওপেনলডিপ টিএলএস প্রমাণীকরণ

10

আমি এই এলডিএফ ফাইলের সাহায্যে সিএন = কনফিগার ডাটাবেস পরিবর্তন করার চেষ্টা করার সময় https://help.ubuntu.com/lts/serverguide/openldap-server.html হিসাবে টিএলএস বাস্তবায়নের চেষ্টা করছি :

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/test-ldap-server_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/test-ldap-server_key.pem

আমি নিম্নলিখিত ত্রুটি পেয়েছি:

ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)

আমি কি ভুল করছি?

সম্পাদনা: যখন আমি সাধারণ লেখার ব্যবহার করার চেষ্টা করি তখন আমি নিম্নলিখিত ত্রুটিটি পেয়েছিলাম:

ldapmodify -x -D cn=admin,dc=example,dc=com -W -f certinfo.ldif
Enter LDAP Password:
ldap_bind: Invalid DN syntax (34)
        additional info: invalid DN

openldap tls

— আমার প্রসোভিক
সূত্র

শংসাপত্রের ফাইলগুলিতে অনুমতিগুলি পরীক্ষা করুন। এবং যদি সেট করা থাকে তবে পাসওয়ার্ডও সরিয়ে দিন।

— জেরিডন

দ্রুত উত্তরের জন্য ধন্যবাদ। অনুমতিগুলি key০০-এ থাকা .key ফাইল ব্যতীত to৪৪ এ সেট করা আছে আমি কীভাবে পাসওয়ার্ড চেক / অপসারণ করব? আমি সিএন = কনফিগারেশনের জন্য কোনও পাসওয়ার্ড নির্ধারণের কথা মনে নেই ..

— আমার প্রসোভিক

2

আমি নিজেই শংসাপত্রের পাসওয়ার্ড বলতে চাই (সিএন = কনফিগারে নেই)। চেক করুন: mnx.io/blog/removing-a-passphrase-from-an-ssl-key

— জেরিডন

না, এটি ছিল না। কী ফাইলটি পাসওয়ার্ড ছাড়াই তৈরি করা হয়েছিল।

— আমার প্রসোভিক

আপনি কি সহজ লেখার সাথে এলডিফটি লোড করার চেষ্টা করতে পারেন (বাইরের নয়)

— জেরিডন

17

আমি একই গাইড অনুসরণ করছিলাম এবং একই সমস্যা ছিল। আপত্তিজনক ldapmodmodify কমান্ডের পরে তালিকাভুক্ত "মালিকানা ও অনুমতি কঠোর করার" পদক্ষেপগুলি যদি কাজ করে তবে এটি কাজ করবে - যথা:

sudo adduser openldap ssl-cert
sudo chgrp ssl-cert /etc/ssl/private
sudo chgrp ssl-cert /etc/ssl/private/ldap01_slapd_key.pem
sudo chmod g+X /etc/ssl/private
sudo chmod g+r /etc/ssl/private/ldap01_slapd_key.pem

এবং

sudo systemctl restart slapd.service

— Hildigerr
সূত্র

1

এটি আমার জন্যও কাজ করেছিল!

— Sonicwave

2

আমার ক্ষেত্রে আমাকে ব্যবহার করতে হয়েছিল chgrp openldap। যাইহোক, এটি একটি অনুমতির সমস্যা। +1

— xonya

এছাড়াও প্রাইভেট ডিরেক্টরি অতিক্রম করতে অবশ্যই কার্যকর করা আবশ্যক। sudo chgrp ssl-cert /etc/ssl/private && sudo chmod g+X /etc/ssl/private

— জেফ

3

ভাল, আমি জানি না এটি সমাধান বা কেবল একটি কর্মক্ষেত্র কিনা, তবে আমি এটি কাজ করতে সক্ষম হয়েছি।

আমি প্রথমে থাপ্পড় থামিয়ে দিয়েছি:

service slapd stop

তারপরে আমি এটি ডিবাগ মোডে শুরু করেছি:

slapd -h ldapi:/// -u openldap -g openldap -d 65 -F /etc/ldap/slapd.d/ -d 65

Ldapi: /// URL দিয়ে কেবল এটি শুরু করা গুরুত্বপূর্ণ start এটি শুরু হওয়ার পরে আমি ldapmodify কমান্ড কার্যকর করেছি এবং বৈশিষ্ট্যগুলি আমদানি করা হয়েছিল।

শেষে আমি ডিবাগ মোডটি বন্ধ করে দিয়ে স্ল্যাপডটি স্বাভাবিকভাবে শুরু করি।

— আমার প্রসোভিক
সূত্র

2

এ। গুতেরেসের উত্তরের অনুসরণ হিসাবে , প্রতিটি ফাইলের অ্যাক্সেস চেক করার সর্বোত্তম উপায়টি চালানো sudo -u openldap cat <filename>। আমি একাধিকবার সমস্ত ফাইলের দিকে চেয়েছিলাম এবং সেগুলিতে অনুমতিগুলি সঠিকভাবে সেট করা আছে বলে মনে হচ্ছে। ওপেনড্যাপের জন্য একটি গ্রুপ সমস্যা হিসাবে দেখা গেছে। একবার আমি অবশেষে এটি বুঝতে পেরেছিলাম, একটি সহজ sudo usermod -a -G ssl-cert openldapএটি আমার জন্য সমাধান করেছিল।

— রব আর্চিবাল্ড
সূত্র

2

কখনও কখনও সমস্যাটি থাপ্পড় সার্ভিসের জন্য অ্যাপমর্ম প্রোফাইলে থাকে। নিশ্চিত হন যে অ্যাপারমোর প্রোফাইল ডেমনের জন্য শংসাপত্র পাথের অনুমতি দিয়েছে।

এটি বেশ দৃষ্টিশক্তি মধ্যে /etc/apparmor.d/usr.sbin.slapd। ডিফল্টরূপে এই প্রোফাইলটি ডিফল্ট লোকেশনগুলিতে শংসাপত্রগুলি পড়তে দেয়।

অ্যাপারমারকে যথাযথ ইউনিক্স অনুমতি থাকা সত্ত্বেও ডেমনের কার্যকর করার জন্য অনির্ধারিত ক্রিয়াগুলি রোধ করা উচিত।

— vskubriev
সূত্র

আপনি যদি লেটেনক্রিপ্ট ব্যবহার করেন তবে এটি সমাধান। নিম্নলিখিত লাইনগুলিতে যুক্ত করুন /etc/apparmor.d/usr.sbin.slapd: / etc / letsencrypt / r, / etc / letsencrypt / ** আর, এবং অ্যাপারমোর প্রোফাইলগুলি পুনরায় লোড করুন।

— বার্নহার্ড

1

আমি যেমন উবুন্টু লঞ্চপ্যাডে এই বাগে রিপোর্ট করেছি , অ্যাপারর্মার কারণেও এই সমস্যা হতে পারে। সাধারণত এটি অ্যাক্সেস অস্বীকার হিসাবে সিসলগে প্রদর্শিত হবে।

সমাধানটি /etc/apparmor.d/usr.sbin.slapd এ নিম্নলিখিত লাইনটি সন্নিবেশ করছে:

/etc/letsencrypt/** r,

এবং তারপরে প্রোফাইলটি রিফ্রেশ করুন:

# apparmor_parser -vr usr.sbin.slapd
# service apparmor restart

— তারেক লাউবানী
সূত্র

0

আমারও এই সমস্যা আছে সমস্যাটি হ'ল ব্যবহারকারী স্ল্যাপডে চলমান শর্ট ফাইলগুলিতে অ্যাক্সেস পেয়েছে। এই ফাইলগুলির মালিক ওপেনডেলপ ব্যবহারকারী Check

— উ: গুতেরেস
সূত্র

0

আমার জন্য সমস্যাটি রেকর্ডগুলির ভুল ক্রমে ছিল - যা এখানে কাজ করেছিল তা এখানে:

dn: cn=config
changetype: modify
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cm_ca_cert.pem
-
# This never worked for me, no idea why
#add: olcTLSCipherSuite
#olcTLSCipherSuite: TLSv1+RSA:!NULL
#-
replace: olcTLSVerifyClient
olcTLSVerifyClient: never
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/cm_server.pem
-
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/cm_server.key

— এরি স্ক্লিয়েরুক
সূত্র

0

দুর্ভাগ্যক্রমে এটি "ডিফল্ট" ত্রুটি বলে মনে হচ্ছে যে আপনি ঠিক যে কোনও কিছুর জন্য পেয়েছেন। @ ওল্ফসদাদের অ্যাঞ্জার সাধারণত এটি ঠিক করে দেয়।

অন্য একটি জিনিস যা আমি সবসময় ভুলে যাই তা হ'ল ওবুন্টুতে ডিফল্টরূপে চড় মারার জন্য ওপেনসেল ফর্ম্যাটে কীটি চাওয়া উচিত। আমি নিয়মিত কিন্তু এতে পিসিএস # 8 কীগুলি এবং এটি কেবলমাত্র কাজ করার প্রত্যাশা করি (এটি উপযুক্ত হওয়া উচিত)। যদি আপনি উপরোক্ত সমস্ত আনসারদের চেষ্টা করে থাকেন তবে কীটিটির সঠিক বিন্যাস রয়েছে তাও নিশ্চিত করুন। ত্রুটিটি সম্পর্কে গুগল করার সময় আপনি সাধারণত ভুল অনুমতিগুলি সম্পর্কে পড়েন এবং আপনার মাথাটি ঘষুন কেন কেন আপাচি খুব কী চাবুকের সাথে কাজ করে তা পছন্দ হয় না।

— user3240383
সূত্র