如何向 LDAP 客户端添加多个 CA 证书

如何向 LDAP 客户端添加多个 CA 证书

我在将第二个 LDAP 服务器添加到客户端配置时遇到了麻烦。如果我将客户端配置为只使用其中一个,它就可以正常工作。所以我确信两个 CA 证书都可以正常工作。

我尝试在和中使用 TLS_CACERT 选项/etc/pam_ldap.conf/etc/openldap/ldap.conf但不起作用。我在执行 ldapsearch 时收到此错误。

这就是我目前的配置。

uri ldaps://ldap.abc.com:636/
ssl no
tls_cacertdir /etc/openldap/cacerts
pam_password md5

中的 CA 证书/etc/openldap/cacerts已使用 openssl 进行了哈希处理。我还尝试在末尾添加第二个哈希符号链接,并以 .1 结尾,但没有成功。

答案1

如果您使用多个 LDAP 服务器,请使用相同的 cacert 为所有 LDAP 服务器签名证书。这样,您只需分发一个 cacert。

答案2

我设法通过在两个 LDAP 服务器上方添加一个 Classic Load Balancer 并终止到 CLB 本身的 SSL 来解决此问题。

相关内容