다음과 같이 확인할 수 있는 대기업 AD LDAP의 인증서 체인이 있습니다.
$ openssl rehash tmp_cert_dir/
$ echo | openssl s_client -showcerts -connect 10.188.1.101:636 2</dev/null \
| openssl verify -CApath tmp_cert_dir/
stdin: OK
$
따라서 디렉토리에 있는 인증서 2개이면 tmp_cert_dirLDAP 서버를 인증하기에 충분할 것 같습니다.
하지만 Commando를 사용할 때는 환경변수를 ldapsearch사용할 수 없습니다 .LDAPTLS_CACERTDIR
$ LDAPTLS_CACERTDIR=/root/tmp_cert_dir ldapsearch -x -W -D mydomain\\mylogin -H ldaps://10.188.1.101 $SECRET_SEARCH
Enter LDAP Password:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
$
실제로 비활성화된 인증서 인증을 사용할 때 응답 LDAPTLS_REQCERT하고 응답을 성공적으로 조사합니다.
$ LDAPTLS_REQCERT=never ldapsearch -x -W -D mydomain\\mylogin -H ldaps://10.188.1.101 $SECRET_SEARCH
Enter LDAP Password:
(<correct answer here>)
이전 인터넷 조사에서 많은 사람들이 서버 인증 포기를 제안한 것을 발견했는데, 저는 이 인증을 사용하고 싶습니다.
ldapsearch연결이 자동으로 실패하는 대신 오류 메시지를 출력하려면 어떻게 해야 합니까 ? 내 LDAP 서버를 어떻게 인증하나요?