我目前使用 OpenLDAP 作为内部 Active Directory 域的只读代理。我的主要问题是,没有 SSL 时 AD DC 和代理之间的连接可以正常工作,有 SSL 时则不行。
我的配置如下:
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/misc.schema
loglevel none
modulepath /usr/lib64/openldap/
pidfile /var/run/openldap/slapd.pid
moduleload back_ldap.la
database ldap
readonly yes
uri "ldap://ad-fqdn"
suffix "suffix"
binddn "dn"
bindpw "password"
TLSCACertificateFile /usr/local/etc/openldap/torque.pem
TLSCertificateFile /usr/local/etc/openldap/ad-proxy.pem
TLSCertificateKeyFile /usr/local/etc/openldap/ad-proxy.key
如果我将 URI 中的“ldap”更改为“ldaps”,它就不再起作用了。我的 AD DC 和代理之间的 CA 是相同的,我可以使用 ldapsearch 从代理(使用 TLS)查询 AD DC,没有任何问题。我的 ad-proxy(CentOS 7)机器信任该 CA。
如何在我的连接上使用 SSL?
感谢您的帮助。
编辑:没关系,我明白了。证书对 FQDN 无效。