Ми стикаємося з проблемою в одному з наших середовищ openldap, в той час як забезпечуючи безпечні запити через ldaps: // наше середовище інтеграції постійно повертає наступну помилку до команди ldapsearch:
SSL3_READ_BYTES:sslv3 alert bad record mac
тоді як одна й та ж команда, що вказує на наше виробниче середовище, правильно з'єднує і повертає відповідні записи. Аналогічний запит щодо середовища інтеграції над портом 389 і ldap: // також працює.
Обидва виконуються за такими версіями:
- Red Hat Enterprise Linux Server версії 6.2 (Сантьяго)
- OpenLDAP: slapd 2.4.23
- OpenSSL 1.0.0-fips
Кожен з них має власний сертифікат, підписаний тим самим ЦС.
У нашому середовищі інтеграції:
/etc/openldap/slapd.d/cn\t=config.ldif:
olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapint.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldapint.key
У тому ж файлі виробниче середовище:
olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapPRO.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldap.key
І ми можемо перевірити цю проблему, виконавши наступне:
$ openssl s_client -connect localhost:636 -showcerts -CApath /etc/openldap/cert/root_CA.pem
CONNECTED(00000003)
depth=1 L = (...), OU = (...), CN = (...)
verify error:num=19:self signed certificate in certificate chain
verify return:0
139866277001032:error:140943FC:SSL routines:SSL3_READ_BYTES:sslv3 alert bad record mac:s3_pkt.c:1193:SSL alert number 20
139866277001032:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:
---
Будь-які ідеї про те, що не так, і як налаштувати наш безпечний LDAPS: // для OpenLDAP?
Дякую!