CentOS 기반 OpenLDAP 서버 및 MCP Linux 기반 PAM LDAP 클라이언트를 사용하여 LDAP 설정을하려고합니다.LDAP SSL 클라이언트가 hello 패킷을 보내지 않았습니다.
SSL이 없으면 사용자를 성공적으로 인증받을 수 있습니다.
그러나 SSL ('ssl start_tls'in /etc/pam_ldap.conf)을 사용하여 사용자를 인증 할 수 없습니다. 서버에서 패킷 캡처를 수행 할 때 클라이언트의 HELLO 패킷이 표시되지 않습니다.
또한 서버/클라이언트 인증서 확인에 관심이 없으므로 'TLSVerifyClient never'가 있고 클라이언트에서 'TLS_REQCERT never'를 /etc/openldap/ldap.conf에 사용했습니다. 'tls_checkpeer no '/etc/pam_ldap.conf)
CentOS 기반 PAM LDAP 클라이언트를 사용하고 동일한 클라이언트 구성을 사용하여 동일한 서버에서 사용자를 성공적으로 인증 할 수 있습니다.
누군가 SSL 클라이언트가 'HELLO'패킷을 보내지 않는 경우 어떻게 알 수 있습니까? = 0
TLS를 희망 = 3 가지고 :
... connection_read (13) : ID에 입력을 검사 = 1005 tls_read 여기
당신은 서버에 로그를 이동 오류 : 수락 - 강제 핸드 셰이크 실패 : errno 11 - moznss 오류 -5938 TLS : 수락 할 수 없습니다. TLS 오류 -5938 : 파일 끝에 도달했습니다. connection_read (13) : TLS는 실패 오류 = -1 ID = 1005, 폐쇄을 받아 connection_closing 닫기 .... BTW
에 대한 CONN = 1005 SD = (13)을 준비하고, 내가 사용 클라이언트에 연결하기 위해 노력하고있어 SSH.
또한 CLIENT에서 'openssl s_client -connect my-domain.com:636 -showcerts -state -CAfile /etc/pki/tls/certs/cacert.pem'명령을 사용하면 Client hello 패킷을 보내고 있습니다. 나는 참조 서버 인증서
감사합니다, Sravani
에서
왜 인증에 관심이 없습니까? SSL이 없으면 SSL이 안전하지 않습니다. – EJP
Hi EJP, 지금 당장 서버/클라이언트 인증서 확인없이 사용자 인증을 사용하여 설치를 시도하고 있습니다. 이 작업이 성공적으로 완료되면 인증서 확인의 다음 단계로 이동합니다. 고마워요, 스라바니 – Sravani
저는 강력하게 추천하지 않습니다. 안전하지 않은 추가 코드입니다. 나는 디버깅을위한 이러한 임시적인 수정이 생산에 유출되어 배포 된 시스템이 근본적으로 불안정해질 것으로 확신합니다. 당신이 그것을 쓰지 않는다면, 당신은 그것을 누설 할 수 없습니다. – EJP