저는 MIT Kerberos 및 OpenLDAP 백엔드를 갖춘 두 개의 Debian 서버를 실행합니다. TLS를 적용하고 복제를 암호화하고 싶습니다. 그래서 인증서를 생성하고 추가했습니다 ...
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/ca.crt
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/server1.crt
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/server1.key
…그리고 이를 시행합니다STARTTLS
dn: olcDatabase={1}mdb,cn=config
changeType: modify
add: olcSecurity
olcSecurity: tls=1
약간의 조정 끝에 나는 이것이 IPC( )에서도 작동 ldapi하고 모든 데몬이 루트 인증서에 액세스해야 한다는 것을 발견했습니다. 예를 들어 /etc/nslcd.conf:
ssl start_tls
tls_cacertfile /etc/ssl/ca.crt
그리고 물론 /etc/ldap/ldap.conf:
TLS_CACERT /etc/ssl/ca.crt
Kerberos를 제외하고. 그에게 루트 인증서의 위치를 알려주는 옵션을 찾을 수 없습니다. 나는 그것이 다음 안에 있기를 원한다 /etc/krb5.conf:
[dbmodules]
LDAP = {
db_library = kldap
ldap_kdc_dn = cn=kdc,ou=daemons,dc=example,dc=com
ldap_kadmind_dn = cn=adm,ou=daemons,dc=example,dc=com
ldap_service_password_file = /etc/krb5kdc/service.keyfile
ldap_servers = ldapi:///
ldap_conns_per_server = 5
}
따라서 다음과 같이 불평합니다.
kadmind: connection with LDAP-server »ldapi:///«
as »cn=adm,ou=daemons,dc=example,dc=com« can not be established:
Confidentiality required
그렇다면 Kerberos에게 루트 인증서를 찾을 수 있는 위치를 어떻게 알릴 수 있습니까?