Ciao, sei sicuro che non sia un problema di certificato CA? Intendo il "truststore" della connessione...
Io una volta ebbi un problema di incongruenza tra quello che avevo configurato in slapd.conf con quello che era configurato nel file /etc/openldap/ldap.conf. Io ero su RHEL6 e non su Debian/Ubuntu, va detto... Marco 2017-03-31 16:15 GMT+02:00 Marco Gaiarin <g...@sv.lnf.it>: > > Non so più dove sbattere la testa. > > Stamattina riavvio un server, che è uno slave/replica OpenLDAP. > > > Dal riavvio, non si connette più, lamentandosi di: > > Mar 31 09:56:17 brucaliffo slapd[1317]: slap_client_connect: URI=ldaps:// > ldap.pp.lnf.it/ DN="cn=replica,dc=pp,dc=lnf,dc=it" ldap_sasl_bind_s > failed (-1) > Mar 31 09:56:17 brucaliffo slapd[1317]: do_syncrepl: rid=115 rc -1 > retrying > > Vado a vedere, e, mannaggia, il certificato è scaduto ieri: > > akela:~# openssl x509 -in /etc/ssl/certs/LNFFVGAkela.pem -noout -dates > notBefore=Mar 31 07:14:59 2014 GMT > notAfter=Mar 30 07:14:59 2017 GMT > > Bah, poco male, inizio a mettere: > > TLS_REQCERT never > > in /etc/ldap/ldap.conf, ma continua a lamentarsi. A questo punto inzio > a impensierirmi, anche per 'ldapsearch' funziona: > > root@brucaliffo:~# ldapsearch -x -H ldaps://ldap.pp.lnf.it/ -b > dc=pp,dc=lnf,dc=it "(uid=gaio)" > # extended LDIF > # > # LDAPv3 > # base <dc=pp,dc=lnf,dc=it> with scope subtree > # filter: (uid=gaio) > # requesting: ALL > # > > # gaio, People, pp.lnf.it > dn: uid=gaio,ou=People,dc=pp,dc=lnf,dc=it > [...] > # search result > search: 2 > result: 0 Success > > # numResponses: 2 > # numEntries: 1 > > Ad ogni modo, tanto devo farlo, rigenero i certificati e li installo. > Stesso comportamento. > > > Ovviamente ho tentato anche un bind con 'ldapsearch' non anonimo, > usando 'cn=replica,dc=pp,dc=lnf,dc=it' e la password inserita nella > configurazione di slapd.conf, e il comportamento è il medesimo, ovvero > funziona perfettamente. > > > Dove e cosa sbaglio? Grazie. > > > PS: esiste un altro slave/replica dello stesso master, e non ha mai > smesso di funzionare... > > -- > dott. Marco Gaiarin GNUPG Key ID: > 240A3D66 > Associazione ``La Nostra Famiglia'' > http://www.lanostrafamiglia.it/ > Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento > (PN) > marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f > +39-0434-842797 > > Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! > http://www.lanostrafamiglia.it/25/index.php/component/k2/item/123 > (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA) > _______________________________________________ > OpenLDAP mailing list > OpenLDAP@mail.sys-net.it > https://www.sys-net.it/mailman/listinfo/openldap >
_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
