Ich habe den 389er Server gem. Doku immer noch nicht am Laufen, wegen einer falschen SSL- Einrichtunge und bitte um Hilfe…
Folgendes funktioniert:
ldapsearch -x -H ldaps://obel1x.de/ -s base -b '' namingContexts
→ Gibt auf dem ldaps ein richtiges Ergebnis
openssl s_client -connect obel1x.de:636 -showcerts </dev/null
gibt:
Server certificate
subject=CN = obel1x.de
issuer=C = US, O = Let's Encrypt, CN = R3
...]
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 3134 bytes and written 405 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_128_GCM_SHA256
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
DONE
Soweit erfreulich.
Aber, wenn ich jetzt versuche z.B. mit einer entsprechenden “~/.dsrc” :
[obel1x]
basedn = dc=obel1x,dc=de
binddn = cn=Directory Manager
# You need to copy /etc/dirsrv/slapd-localhost/ca.crt to your host for this to work.
uri = ldaps://obel1x.de
# Then run /usr/bin/c_rehash /etc/openldap/certs
tls_cacertdir = /etc/openldap/certs
und dem Zertifikat (welches ich aus dem Server mit certutil exportiert habe) zu verbinden (es war die cert.pem von letsencrypt), um die sssd.conf zu erstellen:
dsidm obel1x client_config sssd.conf server_admins
Enter password for cn=Directory Manager on ldaps://obel1x.de:
Error: Can't contact LDAP server - error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (unable to get local issuer certificate)
Ich weiss jetzt wirklich nicht mehr, woran das liegen kann. Hat es jemand zum Laufen bekommen und kann mir Tipps geben?