在Samba4 AD DC环境中配置LDAP使用SSL

Configuring LDAP over SSL (LDAPS) on a Samba AD DC
1,确认当前版本的samba对SSL是否支持.
#smbd -b | grep “ENABLE_GNUTLS”
如结果中出现”ENABLE_GNUTLS”说明是支持的.
2.准备证书文件,如果samba是通过代码编译的默认可放在下面的位置.
证书文件要有正确的权限
私钥600,证书644
/usr/local/samba/private/tls/ca.pem   (权限644)
/usr/local/samba/private/tls/cert.pem (权限644)
/usr/local/samba/private/tls/key.pem  (权限600)
3.配置smb.conf [global]添加
tls enabled  = yes
tls keyfile  = tls/key.pem
tls certfile = tls/cert.pem
tls cafile   = tls/ca.pem
4.重启 samba
5.验证命令(例子在本机验证127.0.0.1)
ldapsearch -v -Z  -H ldaps://127.0.0.1 -x -LLL -D “cn=Administrator,cn=Users,dc=testad,dc=local” -W -b “cn=Users,dc=testad,dc=local” cn=Administrator
如遇到下面的错误
ldap_start_tls: Can’t contact LDAP server (-1)
additional info: TLS error -8179:Peer’s Certificate issuer is not recognized.
请修改配置文件
/etc/openldap/ldap.conf
添加
TLS_REQCERT ALLOW
SSH私钥取消密码方法(passphrase )
使用openssl命令去掉私钥的密码
openssl rsa -in key_file_has_pass -out key_file_withou_pass

将证书文件证书密钥文件合到一起。
openssl pkcs12 -export -in server.cert -inkey server.key -passin pass:passwd123 -out \
server.pk12 -passout pass:passwd123 -name winad

李海涛

关于李海涛

李海涛 lihaitao 山水 lihato 开源软件研究与服务
此条目发表在Samba分类目录。将固定链接加入收藏夹。