我在将第二个 LDAP 服务器添加到客户端配置时遇到了麻烦。如果我将客户端配置为只使用其中一个,它就可以正常工作。所以我确信两个 CA 证书都可以正常工作。
我尝试在和中使用 TLS_CACERT 选项/etc/pam_ldap.conf,/etc/openldap/ldap.conf但不起作用。我在执行 ldapsearch 时收到此错误。
这就是我目前的配置。
uri ldaps://ldap.abc.com:636/
ssl no
tls_cacertdir /etc/openldap/cacerts
pam_password md5
中的 CA 证书/etc/openldap/cacerts已使用 openssl 进行了哈希处理。我还尝试在末尾添加第二个哈希符号链接,并以 .1 结尾,但没有成功。
答案1
如果您使用多个 LDAP 服务器,请使用相同的 cacert 为所有 LDAP 服务器签名证书。这样,您只需分发一个 cacert。
答案2
我设法通过在两个 LDAP 服务器上方添加一个 Classic Load Balancer 并终止到 CLB 本身的 SSL 来解决此问题。