我正在尝试在 OpenLDAP 2.4.23 服务器上启用 SSL 连接,但我找到的所有说明都只讨论旧的 slapd.conf 配置。有人能指出一些在 下进行设置的说明吗cn=config?
答案1
以下是目前的工作情况,但我仍然可以使用指南来调整 cn=config 下的安全设置:
按照说明操作这里要创建证书,请将 tls 属性添加到 cn=config(最后两个是默认设置的)
olcTLSCertificateFile /certs/ldapscert.pem
olcTLSCertificateKeyFile /certs/keys/ldapskey.pem
olcTLSCipherSuite TLSV1+RSA:!NULL
olcTLSCRLCheck none
olcTLSVerifyClient never
使用启动服务器/usr/local/libexec/slapd -F slapd.d -h ldaps:///
这让我可以使用 ldaps 从 Apache Directory Studio 进行连接,但不适用于 linux 登录。
答案2
如果您和我一样找到了这个答案但正在寻找动态配置(cn = config)选项,请使用以下 ldif。
dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /path/to/host.key
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /path/to/host.crt
-
replace: olcTLSCACertificatePath
olcTLSCACertificatePath: /etc/ssl/cert
要添加 ldif 使用:
sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f nameOfLdif.ldif
答案3
因此,如果您需要更新 TLS 证书名称,则似乎在 HA 设置中无法使用 NSS db。无法使用 ldapmodify 通过 LDIF 更新名称。