1. Accueil
  2. Question et réponse
  3. comment openshift ldap auth fournisseur confiance certificat auto-signé sans un rootca signé

comment openshift ldap auth fournisseur confiance certificat auto-signé sans un rootca signé

2016-12-08 1 views
0

J'essaye de config openshift avec mon serveur ldaps interne comme un IDP.comment openshift ldap auth fournisseur confiance certificat auto-signé sans un rootca signé

Mais le truc c'est que mon ldaps interne est auto-signé sans aucune racine ca signé.

Dans maître-config.yaml, j'ai essayé de config le certificat auto-signé comme attribut ca, mais il plaindrai toujours:

login.go: 162] Erreur d'authentification "Xifeng" avec le fournisseur "customer_own_ldap": Code de résultat LDAP 200 "": x509: certificat signé par une autorité inconnue.

Je comprends que l'attribut ca dans master-config.yaml peut s'attendre à un certificat ca-bundle. mais mon cas ici est un cert auto-signé.

S'il vous plaît aviser comment je peux résoudre ce problème?

Source

2016-12-08 Feng Xi

+0

BTW, pendant la négociation ssl, le serveur LDAP que j'utilise attend un certificat client (dans ce cas, openshift en tant que client). Alors, quel certificat openshift envoie-t-il à ce serveur ldap? –

+0

s'il vous plaît pouvez-vous montrer votre ** identityProviders ** ldap config? Qu'y a-t-il dans le journal du serveur maître? – Aleksandar

+0

Merci pour votre réponse. Je suis à peu près sûr que la configuration de ldap identityProviders est bonne, excepté le "ca". Le certificat "ca" que j'utilise n'est pas un véritable certificat de groupe CA. Avec openssl x509 -dans my_cert.crt -noout -text, il ne contient pas sth comme 'CA: TRUE'. Je suis ce n'est pas un interne (ou de confiance) ca racine –

Répondre

0

boucle -cacert fonctionne très bien, trouver ci-dessous: boucle -v --cacert xf_ldaps_ca.crt ldaps: // bogon: 1636
A propos de se connecter() à Bogon le port 1636 (# 0) Essayer 172.16.50.169 ... connecté à Bogon le port (172.16.50.169) 1636 (# 0) NSS avec Initializing certpath: sql:/etc/pki/nssdb cAFile: xf_ldaps_ca.crt CApath: aucun NSS: certificat client non trouvé (pseudo non spécifié) Connexion SSL en utilisant TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 Certificat du serveur: Sujet: CN = bogon, O = OpenDJ RSA Certificat autosigné Date de début: 23 décembre 2016 12:11:19 GMT Date d'expiration: Déc 18 12:11:19 GMT 2036 Nom commun: bogon émetteur: CN = bogon, O = OpenDJ RSA certificat auto-signé LDAP local: ldaps: // bogon: 1636/ DN: objectClass: top objectClass: ds-root-dse

Connection # 0 pour accueillir bogon gauche intacte

openssl x509 -in xf_ldaps_ca.crt -noout -text certificat: données: version: 3 (0x2) Numéro de série: 14407100 20 (0x55df7d84) Signature Algorithme: Sha1WithRSAEncryption Emetteur: O = OpenDJ RSA certificat auto-signé, CN = bogon Validité Non Avant: 23 décembre 2016 12:11:19 GMT pas après: 18 décembre 12:11:19 2036 GMT Sujet: O = OpenDJ RSA certificat auto-signé, CN = bogon Infos sur la clé publique: algorithme à clé publique: rsaEncryption public-Key: (2048 bits) Modulus: 00: 9 e: a4: 46: 41: d2: 9d: 32: ae: e3: 60: f9: 13: ac: 40: -------------- Exposant: 65537 (0x10001) Algorithme de signature: sha1WithRSAEncryption 8 c: c4: 34: 2b: af: dd: ec: bc: f0: 68: 6a: 95: 53: 02: 74: d9: 9f: 5e: ------------- ---

E1223 20: 58: 37.810976 12227 connexion.go: 162] Erreur d'authentification de "xftest" avec le fournisseur "xf_ldaps_test": Code de résultat LDAP 200 "": x509: certificat signé par une autorité inconnue (peut-être à cause de "x509: signature invalide: le certificat parent ne peut pas signer ce type de certificat" Pour vérifier le certificat d'autorité candidate "bogon")

Source

2016-12-23 03:05:15

 Questions connexes

  • Aucun problème connexe^_^