LDAP SSL客户端不发送hello数据包

时间:2014-04-25 10:20:25

标签: linux authentication ssl ldap pam

我尝试使用基于CentOS的OpenLDAP服务器和基于MCP Linux的PAM LDAP客户端进行LDAP设置。

没有SSL,我就能够成功验证用户身份。

但是使用SSL(' ssl start_tls'在/etc/pam_ldap.conf中),我无法让用户通过身份验证。当我在服务器上进行数据包捕获时,我没有看到客户端的HELLO数据包。

另外,我对服务器/客户端证书验证不感兴趣,因此在服务器上我没有' TLSVerifyClient从来没有'在客户端,我使用了“TLS_REQCERT”,从来没有'在/etc/openldap/ldap.conf中(除了/etc/pam_ldap.conf中的&t; tls_checkpeer no')

使用基于CentOS的PAM LDAP客户端并使用相同的客户端配置,我能够使用同一服务器成功验证用户。

任何人都可以告诉我,在哪种情况下,SSL客户端不会发送' HELLO'包?

在这里,您可以使用服务器上的日志:

... connection_read(13):检查id = 1005的输入 tls_read:want = 3,got = 0

TLS:错误:接受 - 强制握手失败:错误11 - moznss错误-5938 TLS:无法接受:TLS错误-5938:遇到文件结束。 connection_read(13):TLS接受失败错误= -1 id = 1005,关闭 connection_closing:准备conn = 1005 sd = 13表示关闭 ....

顺便说一下,我正在尝试使用SSH连接到客户端。

另外,如果我使用' openssl s_client -connect my-domain.com:636-showcerts -state -CAfile /etc/pki/tls/certs/cacert.pem'在CLIENT上执行命令,它正在发送客户端hello数据包并正在撤销服务器证书

谢谢, Sravani

1 个答案:

答案 0 :(得分:-1)

从'strace ldapsearch ....'日志中,我看到了 open(“/ usr / lib / libsoftokn3.so”,O_RDONLY)= -1 ENOENT(没有这样的文件或目录)

我将尝试为MCP Linux获取此库,并再次尝试。

感谢大家的支持