Openldap 在复制上启用 SSL

作为参考，我发布了用于Æ-DIR：

olcSyncrepl: rid=001
  provider=ldaps://ae-dir-p1.example.com
  bindmethod=sasl
  saslmech=EXTERNAL
  starttls=no
  tls_cert="/opt/ae-dir/etc/tls/ae-dir-c1.example.com.crt"
  tls_key="/opt/ae-dir/etc/tls/ae-dir-c1.example.com.key"
  tls_cacert="/opt/ae-dir/etc/tls/my-ae-dir-testca-2017-06.pem"
  tls_reqcert=demand
  crlcheck=none
  filter="(objectClass=*)"
  searchbase="dc=ae-dir,dc=example,dc=org"
  scope=sub
  schemachecking=on
  type=refreshAndPersist
  retry="30 +"

首先，您不应该在 LDAP URL 中使用 IP 地址provider=。而是获取正确颁发的主机名 TLS 服务器证书，然后使用 OpenLDAP拍打将进行正确的 TLS 主机名检查，以防止 MITM 攻击（请参阅RFC 6125）。

我假设你已经在提供商上配置了 TLS和消费者实例。上述 syncrepl 配置使用已配置的 TLS服务器证书也作为 TLS客户供复制的证书。

对于 TLS 客户端证书，结果验证身份 (authc-DN) 是客户端证书中的主题 DN。您可能希望将其映射到现有 LDAP 条目的授权身份 (authz-DN)。这可以通过添加olcAuthzRegexp到cn=配置像这样：

olcAuthzRegexp:
  "(cn=[^,]+,OU=ITS,O=My Org)"
  "ldap:///dc=ae-dir,dc=example,dc=org??sub?(&(objectClass=pkiUser)(seeAlso=$1)(seeAlso:dnSubordinateMatch:=OU=ITS,O=My Org)(aeStatus=0))"

以上内容中，以 结尾的主题 DNOU=ITS,O=My Org将映射到具有对象类的 LDAP 条目pki用户客户端证书的主题 DN 存储在属性中也可以看看像这样：

dn: uid=ae-dir-slapd_ae-dir-deb-c1,cn=ae,dc=ae-dir,dc=example,dc=org
aeStatus: 0
cn: ae-dir-slapd_ae-dir-deb-c1
memberOf: cn=ae-replicas,cn=ae,dc=ae-dir,dc=example,dc=org
objectClass: account
objectClass: aeObject
objectClass: aeService
objectClass: pkiUser
objectClass: posixAccount
seeAlso: cn=ae-dir-c1.example.com,OU=ITS,O=My Org
[..]

然后，您可以正确授权此服务用户条目，在上面的示例中，通过 LDAP 组ae-副本。