我有 2 台 Ubuntu Linux 14.04 服务器,上面装有 Samba4。一台是 AD 主服务器,另一台是 AD 备份服务器。
在 Samba 3.8.4 更新之前,我的 Postfix+Dovecot 服务器能够进行用户查找和身份验证查找。现在却不能了。
postfix 说
warning: dict_ldap_connect: Unable to bind to server [redacted] (Strong(er) authentication required)
鸽舍 说
auth: Error: LDAP: ldap_start_tls_s() failed: Can't contact LDAP server
Dovecot 配置上启用了 TLS。这似乎是 Samba AD 设置中的自签名证书的问题。
ldapserch ... -Z 给出
ldap_start_tls: Connect error (-11)
additional info: (unknown error code)
ldap_result: Can't contact LDAP server (-1)
openssl s_client -connect [AD 服务器的 ip 和端口] -showcerts 实际上按预期将证书交给了我。
...
Server certificate
subject=/O=Samba Administration/OU=Samba - temporary autogenerated certificate/CN=DC-01.[redacted]
issuer=/O=Samba Administration/OU=Samba - temporary autogenerated certificate/CN=DC-01.[redacted]
---
Acceptable client certificate CA names
/O=Samba Administration/OU=Samba - temporary autogenerated certificate/CN=DC-01.[redacted]
/O=Samba Administration/OU=Samba - temporary autogenerated certificate/CN=DC-01.[redacted]
....
Verify return code: 18 (self signed certificate)
....
看着 :https://access.redhat.com/articles/2243351 我试过 :
tls verify peer = no_check
ldap server require strong auth = no
这成功允许在端口 389 上进行纯文本 LDAP 查找。 (根据之前内容编辑)
Ubuntu 14.04 证书部分位于: https://wiki.samba.org/index.php/Configuring_LDAP_over_SSL_%28LDAPS%29_on_a_Samba_AD_DC
我尝试将 CA .pem 文件从 DC 导入到邮件服务器,但似乎无法解决 dovecot 或 postfix 的 TLS LDAP 连接问题。