user161458's questions

我正在尝试在主从 ldap 服务器之间添加 TLS 安全复制。没有 TLS 的复制运行良好。

我从奴隶遇到这个错误：slapd_client_connect: URI=ldap://master.domain.com Error, ldap_start_tls failed (-11)

这是我的配置：

----- Master -----
/etc/ldap/ldap.conf
  URI            ldap://master.domain.com/
  TLS_CACERT     /etc/ssl/cacert.pem
  TLS_REQCERT    demand

/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCertificateKeyFile: /etc/ssl/master-key.pem
  olcTLSCertificateFile: /etc/ssl/master-cert.pem

----- Slave -----
/etc/ldap/ldap.conf
  URI            ldap://slave.domain.com/
  TLS_CACERT     /etc/ssl/cacert.pem
  TLS_REQCERT    demand

/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCertificateKeyFile: /etc/ssl/slave-key.pem
  olcTLSCertificateFile: /etc/ssl/slave-cert.pem

/etc/ldap/slapd.d/cn=config/olcDatabase{1}mdb.ldif
  olcSyncrepl: rid=001, provider=ldap://master.domain.com binddn="cn=readonly,ou=users,dc=master,dc=domain,dc=com" bindmethod=simple credentials="mypass" searchbase="dc=master,dc=domain,dc=com" type=refreshAndPersist timeout=0 network-timeout=0 retry="60 +" starttls=critical tls_reqcert=demand

这是我已经检查/尝试过的：

• 两台服务器上的证书都归用户所有openldap
• 两台服务器上 cacert.pem 的指纹相同
• 证书的有效期是好的
• cacert.pem中的cn等于主服务器的cn
• 从站可以使用以下命令在主站上搜索：ldapsearch -ZZ -x -H master.domain.com -b "ou=groups,dc=master,dc=domain,dc=com"
• 更改从olcTLS值以使用主证书
• 使用ldaps://而不是ldap:// + starttls（ldapsearch -ZZ -H ldaps://正在工作）

经过网上的一些研究，它经常谈论CA证书（其中的cn，文件的所有者，......）但我已经检查了这些案例。

你知道问题出在哪里吗？

我的服务 freeradius 和 openldap 都在同一台服务器上。模式 Freeradius 被加载到 openldap 中。

我将radiusProfileDN用户配置为链接到组。在这个组中，我已经radiusReplyAttribute设置了vlan的信息。

• radtest当我在本地（或从远程且已通过身份验证的客户端）使用该命令时，我收到一个包含 vlan 信息的 Access-Accept 数据包（半径协议）。Wireshark 捕获显示数据包中的 vlan 信息。

  LDAP + Radius                      LDAP + Radius ----- Switch ----- Client
    <--------                              <-----------------------------
    -------->              or              ----------------------------->
   *vlan info*                                       *vlan info*

• 当我使用该工具wpa_supplicant（peap-gtc 协议）时，我成功进行了身份验证，但客户端端口未添加到 vlan 组。Wireshark 捕获显示交换机和 Radius 服务器之间交换的 Access-Accept 数据包中没有 vlan 信息。

LDAP + Radius ----- Switch ----- Client
  <------------------    <----------
  ------------------>    ---------->
    *no vlan info*      wpa_supplicant

从 openldap 的日志中，使用 radtest 或 wpa_supplicant 进行身份验证的步骤相同：

1. 'mygroup' 上的 radiusReplyAttribute 允许读取访问权限
2. 结果在缓存中（radiusReplyAttribute）
3. send_search_entry 退出
4. send_ldap_result & send_ldap_response

在 ldap 服务器中，我尝试将 vlan 信息直接放在用户中，或者放在已经为 vlan 信息制作的“变量”中，但我得到了相同的结果。

你知道我的问题来自哪里吗？它似乎与 wpa_supplicant 使用不同的协议有关，而不是 radtest 命令和 freeradius （也许我错过了配置中的一行）？

我正在尝试在两个 openldap 服务器之间设置主复制。为此，第一步让我配置这两个文件：

• /etc/hosts，需要包含服务器（本身和第二台服务器）的baseDN的DNS：

192.168.150.1 my.server1.org
192.168.150.2 my.server2.org

• /etc/default/slapd，需要包含服务器自己的 FQDN 以将未来的 serverID 与 URI 匹配：

SLAPD_SERVICES="ldap:/// ldapi:/// ldap://my.server1.org"

配置 SLAPD_SERVICES 变量并重新启动 slapd 服务后，我收到以下错误：daemon: listen(ldap://my.server1.org, 5) failed errno=98 (address already un use)。注意：服务处于活动状态（未处于失败状态）

所有 LDAP 命令（例如“ldapsearch -x”）都返回相同的错误：ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

我尝试通过列出正在使用该地址的服务器上运行的所有进程来查找原因my.server1.org：

lsof -i |grep my.server1.org
nmdb  377 root  25u IPv4 17535    0t0 UDP my.server1.org:netbios-ns
nmdb  377 root  27u IPv4 17537    0t0 UDP my.server1.org:netbios-dgm

注意：杀死netbios的PID并没有解决问题

如您所见，没有第二个 slapd/openldap 服务已经在运行。

我自己或在互联网上找不到解决方案，所以我在这里发布我的问题。

编辑1：在@naxto asenjo 的请求之后，这里是命令的结果ss --listening --processes --numeric |egrep "389|636"：

Netid  State  Recv-Q  Send-Q    Local Address:Port                            Peer Address:Port
u_str  LISTEN 0       128       /run/containerd/containerd.sock.ttrpc 14758   users:(("containerd",pid=389, fd=6)) *O
u_str  LISTEN 0       128       /run/containerd/containerd.sock.ttrpc 14758   users:(("containerd",pid=389, fd=7)) *O

编辑 2：我尝试将 SLAPD_SERVICES 和 /etc/hosts 中的值更改为我从未使用过的新 FQDN（ldap 数据库仍然是 my.server1.org）。重新启动 slapd 后，我收到相同的错误，“地址已在使用中”（对于新的 FQDN）。/etc/hosts 和 SLAPD_SERVICES 似乎遇到了冲突？如果我不编辑 /etc/hosts 文件，我会收到错误“名称解析暂时失败”。