使用python-ldap over ldap连接apacheds



我已经安装了一个ApacheDS (Apache目录),并试图通过ldaps连接它。我能够成功地通过ldap(端口10389)对其进行身份验证,但在试图让它在ldap上工作时出现错误。

Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "/usr/local/lib/python3.6/dist-packages/ldap/ldapobject.py", line 445, in simple_bind_s
msgid = self.simple_bind(who,cred,serverctrls,clientctrls)
File "/usr/local/lib/python3.6/dist-packages/ldap/ldapobject.py", line 439, in simple_bind
return self._ldap_call(self._l.simple_bind,who,cred,RequestControlTuples(serverctrls),RequestControlTuples(clientctrls))
File "/usr/local/lib/python3.6/dist-packages/ldap/ldapobject.py", line 331, in _ldap_call
reraise(exc_type, exc_value, exc_traceback)
File "/usr/local/lib/python3.6/dist-packages/ldap/compat.py", line 44, in reraise
raise exc_value
File "/usr/local/lib/python3.6/dist-packages/ldap/ldapobject.py", line 315, in _ldap_call
result = func(*args,**kwargs)
ldap.SERVER_DOWN: {'desc': "Can't contact LDAP server", 'errno': 2, 'info': '(unknown error code)'}
>>>

我理解这是由于证书验证。

用于身份验证的代码为:

import ldap
import os
ldap.set_option(ldap.OPT_X_TLS_REQUIRE_CERT, ldap.OPT_X_TLS_DEMAND)
ls = ldap.initialize('ldaps://10.120.213.106:10636', trace_level=2)
ls.set_option(ldap.OPT_REFERRALS, 0)
ls.set_option(ldap.OPT_PROTOCOL_VERSION, 3)
ls.set_option(ldap.OPT_X_TLS,ldap.OPT_X_TLS_DEMAND)
ls.set_option(ldap.OPT_X_TLS_DEMAND, True)
ls.set_option(ldap.OPT_DEBUG_LEVEL, 4095)
ls.set_option(ldap.OPT_X_TLS_CACERTFILE, "/tmp/server.cer")
ls.simple_bind_s('uid=admin,ou=system', 'secret')

我无法找到ApacheDS默认提供的自签名证书,因此我使用

创建了一个证书和一个密钥存储库
keytool -genkey -keyalg "RSA" -dname "cn=hax,ou=some,dc=com, o=ASF, c=US" -alias hax -keystore hax.ks -storepass secret -validity 730

,然后在受信任的密钥库中导出证书,使用:

keytool -export -keystore hax.ks -alias hax -file hax.cer
keytool -import -file hax.cer -alias hax -keystore trusted.ks -storepass secret

配置apacheDS使用hax。Ks作为密钥库并重新启动它。我也试过ls.set_option(ldap.OPT_X_TLS_CACERTFILE, "/tmp/trusted.ks"),但运气不好。

我在这里错过了什么?注意:我可以通过将ldap.OPT_X_TLS_REQUIRE_CERT设置为允许或从不连接。但我不想这样做,但要验证证书。

对于连接到测试或开发服务器的脚本,我总是使用

ldap.set_option(ldap.OPT_X_TLS_REQUIRE_CERT, ldap.OPT_X_TLS_NEVER)
此外,建议使用StartTLS扩展,因此连接到明文端口(389或10389),然后发出
conn.start_tls_s()

相关内容

  • 没有找到相关文章

最新更新