ldapsearchはldapsに接続できません

Question

Centos 6.6を使用していますが、ldapsearchを使用してWindows広告サーバーに接続しようとしていますが、ポート636を使用して接続できません。

広告サーバーのCAルート証明書をbase64にエクスポートし、LDAP証明書ディレクトリ（a.cer）に追加しました

私の/etc/openldap/ldap.conf

# LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. #BASE dc=example,dc=com #URI ldap://ldap.example.com ldap://ldap-master.example.com:666 #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never PORT 636 TLS_REQCERT demand TLS_CERT /etc/openldap/certs/a.cer TLS_CACERTDIR /etc/openldap/certs

lDAPに接続しようとすると：

ldapsearch -x -H 'ldaps://myadserv.intranet.mydom.com' -D 'userx' -W sAMAccountName=userx -b "dc=intranet,dc=mydom,dc=com" 'uid=user' -d1 ldap_url_parse_ext(ldaps://myadserv.intranet.mydom.com) ldap_create ldap_url_parse_ext(ldaps://myadserv.intranet.mydom.com:636/??base) Enter LDAP Password: ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_Host: TCP myadserv.intranet.mydom.com:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_Host: Trying 10.32.20.24:636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 attempting to connect: connect success TLS: certdb config: configDir='/etc/openldap/certs' tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly TLS: using moznss security dir /etc/openldap/certs prefix . TLS: certificate [CN=myadserv.intranet.mydom.com] is not valid - error -8179:Peer's Certificate issuer is not recognized.. TLS: error: connect - force handshake failure: errno 22 - moznss error -8179 TLS: can't connect: TLS error -8179:Peer's Certificate issuer is not recognized.. ldap_err2string ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

ポート389のldapsearchが機能しています：

ldapsearch -h myadserv.intranet.mydom.com -p 389 -D userx -w 'password' -b "dc=intranet,dc=mydom,dc=com" 'uid=user' # extended LDIF # # LDAPv3 # base <dc=intranet,dc=mydom,dc=com> with scope subtree # filter: uid=user # requesting: ALL # # search reference ref: ldap://ForestDnsZones.intranet.mydom.com/DC=ForestDnsZones,DC=intran et,DC=mydom,DC=com # search reference ref: ldap://DomainDnsZones.intranet.mydom.com/DC=DomainDnsZones,DC=intran et,DC=mydom,DC=com # search reference ref: ldap://intranet.mydom.com/CN=Configuration,DC=intranet,DC=mydom ,DC=com # search result search: 2 result: 0 Success # numResponses: 4 # numReferences: 3

私は証明書で何か間違ったことをしたに違いありません、助けていただければ幸いです。

何か忘れてしまった場合や、さらに情報を追加してほしい場合はお知らせください

natxo asenjo · Answer

centos 6には、CAを信頼するためのすばらしいシステムがあります共有システム証明書

CA証明書をpem形式で/ etc/pki/ca-trust/source/archives /に配置し、update-ca-trust && update-ca-trust enableを実行します。

このツールの優れている点は、openssl、Java、およびnssストアを生成することです。

したがって、CA証明書が正しければ、それは機能します（$ workで、このような信頼できるCA証明書を展開します）。

このブログそれについてはかなりいい記事があります。