Мы сталкиваемся с проблемой в одной из наших сред openldap, в то время как разрешаем защищенные запросы через ldaps:// наша среда интеграции продолжает возвращать следующую ошибку команде out ldapsearch:
SSL3_READ_BYTES:sslv3 alert bad record mac
в то время как та же команда, указывающая на нашу производственную среду, правильно подключается и возвращает совпадающие записи. Тот же запрос к среде интеграции через порт 389 и ldap:// также работает.
Оба работают под следующими версиями:
- Red Hat Enterprise Linux Server, выпуск 6.2 (Сантьяго)
- OpenLDAP: slapd 2.4.23
- OpenSSL 1.0.0-fips
Каждый из них имеет свой собственный сертификат, подписанный тем же CA.
В нашей среде интеграции:
/etc/openldap/slapd.d/cn\=config.ldif:
olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapint.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldapint.key
И в том же файле производственная среда:
olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapPRO.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldap.key
И мы можем проверить эту проблему следующим образом:
$ openssl s_client -connect localhost:636 -showcerts -CApath /etc/openldap/cert/root_CA.pem
CONNECTED(00000003)
depth=1 L = (...), OU = (...), CN = (...)
verify error:num=19:self signed certificate in certificate chain
verify return:0
139866277001032:error:140943FC:SSL routines:SSL3_READ_BYTES:sslv3 alert bad record mac:s3_pkt.c:1193:SSL alert number 20
139866277001032:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:
---
Любые идеи о том, что не так, и как настроить наш безопасный LDAPS:// для OpenLDAP?
Спасибо!