AIX LDAP 服务器上的 Sudo 问题

Question

不幸的是，您没有提供足够的详细信息。另一个不幸的部分是我对 AIX 不够熟悉，不知道 AIX 系统上使用了哪些实用程序或哪些内容。我将给你基于Linux的例子。

当出现ldap_start_tls_s(): Can't contact LDAP server错误时，通常表明 CA 证书丢失或配置错误。您需要确保 ldap.conf（无论是 /etc/ldap.conf、/etc/sudo-ldap.conf 等）配置正确。下面是在 Linux 上正确配置的示例。

uri ldap://ldap.example.com
ssl start_tls
tls_cacertdir /etc/openldap/cacerts
tls_cacertfile /etc/openldap/cacerts/cacert.pem
sudoers_base ou=SUDOers,dc=example,dc=com

这是你可以逃脱的最低限度。事实上，您很可能缺少 CA 证书，或者 LDAP 服务器的证书或 CA 已发生更改。你需要解决这个问题。

另一件事是，如果您的配置正确且证书正确，您可能还需要 CA 证书的散列符号链接。使用 openldap 实用程序时尤其如此。

ln -s cacert.pem `openssl x509 -hash -in ca.pem -noout`.0

Answer 1

不幸的是，您没有提供足够的详细信息。另一个不幸的部分是我对 AIX 不够熟悉，不知道 AIX 系统上使用了哪些实用程序或哪些内容。我将给你基于Linux的例子。

当出现ldap_start_tls_s(): Can't contact LDAP server错误时，通常表明 CA 证书丢失或配置错误。您需要确保 ldap.conf（无论是 /etc/ldap.conf、/etc/sudo-ldap.conf 等）配置正确。下面是在 Linux 上正确配置的示例。

uri ldap://ldap.example.com
ssl start_tls
tls_cacertdir /etc/openldap/cacerts
tls_cacertfile /etc/openldap/cacerts/cacert.pem
sudoers_base ou=SUDOers,dc=example,dc=com

这是你可以逃脱的最低限度。事实上，您很可能缺少 CA 证书，或者 LDAP 服务器的证书或 CA 已发生更改。你需要解决这个问题。

另一件事是，如果您的配置正确且证书正确，您可能还需要 CA 证书的散列符号链接。使用 openldap 实用程序时尤其如此。

ln -s cacert.pem `openssl x509 -hash -in ca.pem -noout`.0

AIX LDAP 服务器上的 Sudo 问题

答案1

相关内容