我们目前在 SAN 中使用通配符证书。当我在 openldap 配置中添加TLS_REQSAN 允许时,我可以从我的客户端计算机成功运行 ldapsearch 。
现在我正在尝试将 SSSD 与安全 LDAP 集成,但出现以下错误
'无法启动 TLS 加密。TLS:主机名与对等证书中的 CN 不匹配'
如何强制 SSSD 检查主题备用名称 (SAN) 而不是 CN。
是否有我可以在 SSSD 配置中设置的属性。
我正在尝试使用证书(RootCA、IntermediateCA、IssuingCA 和服务器证书)配置安全 LDAP 客户端并创建了信任库。
openssl s_client
工作成功,但是当我运行时ldapsearch
出现以下错误:
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
additional info: TLS: hostname does not match CN in peer certificate
ldap.conf:
SASL_NOCANON on
#Configration for LDAP
URI ldaps://ldapserver.abc.example.com/
BASE dc=ldapserver,dc=abc,dc=example,dc=com
TLS_CACERTDIR /etc/openldap/cacerts
TLS_CACERT /etc/pki/tls/certs/ca-bundle.crt
LDAP 服务器 FQDN:ldapserver.abc.example.com
客户端 FQDN:centos7.xyz.example.com
我是否需要使用提供的证书为客户端创建一个新证书,如果是,如何?