https://m.opennet.dev/openforum/vsluhforumID13/505.html Не получается подружить Solaris 10 (sparc, обновление 08/05) с сервером OpenLDAP.<br><br>с помощью certutil экспортирую корневой и промежуточный сертификаты в хранилище:<br># certutil -A -n "CA certificate" -i ca.crt -t "CT" -d /var/ldap/<br># certutil -A -n "subCA certificate" -i subca.crt -t "CT" -d /var/ldap/<br># chmod 0444 /var/ldap/*db<br># ls -la /var/ldap/*db<br>-r--r--r-- 1 root root 65536 авг. 21 15:45 /var/ldap/cert8.db<br>-r--r--r-- 1 root root 32768 авг. 21 15:45 /var/ldap/key3.db<br>-r--r--r-- 1 root root 32768 авг. 21 11:12 /var/ldap/secmod.db<br><br><br>Проверяю работу ldapsearch:<br># ldapsearch -h ldap1 -p 636 -b "" -s base -D "cn=pambrowser,..." -w &lt;...&gt;-Z -P /var/ldap "(objectclass=*)"<br>version: 1<br>dn:<br>objectClass: top<br>objectClass: OpenLDAProotDSE<br><br><br>А дальше ldapclient manual не хочет заводиться:<br># ldapclient manual -v -a credentialLevel=proxy -a 'proxyDN=cn=pambrowser,...' -a 'proxyPassword=...' -a authenticationMethod=tls:simple -a 'serviceAuthenticationMethod=pam_ldap:tl https://m.opennet.dev/openforum/vsluhforumID13/505.html#2 Mon, 19 Sep 2011 14:16:05 GMT &gt; start: network/ldap/client:default... timed out<br>&gt; start: network/ldap/client:default... offline to disable<br><br>Вот эта фигня из за того что при запуске команды ldapclient файл /etc/nsswitch.ldap копируется в /etc/nsswitch.conf. В итоге хосты начинают резолвиться через LDAP, где конечно же записей нет. Как результат клиент не может достучаться до сервера и не стартует.<br>Что делать - описано в пункте 3 предыдущего поста. <br><br>А вообще заставить нативный клиент (аффтар предыдущего поста использует не его, а PADL) ходить только по TLS мне так и не удалось. Т.е. похоже, что соединение он поддерживает по 389 порту, но все обращения: поиск, авторизация идут по 636, а там TLS и все как положено.<br><br>А по 389 сыплется вот такая шняга в лог:<br>conn=1022 fd=17 ACCEPT from IP=192.168.100.63:33168 (IP=0.0.0.0:389)<br>conn=1022 op=0 SRCH base="" scope=0 deref=0 filter="(objectClass=*)"<br>conn=1022 op=0 SRCH attr=supportedControl supportedsaslmechanisms<br>conn=1022 op=0 SEARCH RESULT tag=101 err=0 nentries=1 text=<br>conn=1022 op=1 https://m.opennet.dev/openforum/vsluhforumID13/505.html#1 Fri, 22 Aug 2008 22:45:48 GMT 1. Собственно я делал - но с использованием ldap profiles. Клиенты - solaris 10 sparc & x86<br><br>Добавить в openldap ldap scheme:<br> Updated to match RFC 4876 2007-2007<br># http://www.rfc-editor.org/rfc/rfc4876.txt<br>objectIdentifier DUAConfSchemaOID 1.3.6.1.4.1.11.1.3.1<br><br>attributetype ( DUAConfSchemaOID:1.0 NAME 'defaultServerList'<br> DESC 'Default LDAP server host address used by a DUA'<br> EQUALITY caseIgnoreMatch<br> SYNTAX 1.3.6.1.4.1.1466.115.121.1.15<br> SINGLE-VALUE )<br><br>attributetype ( DUAConfSchemaOID:1.1 NAME 'defaultSearchBase'<br> DESC 'Default LDAP base DN used by a DUA'<br> EQUALITY distinguishedNameMatch<br> SYNTAX 1.3.6.1.4.1.1466.115.121.1.12<br> SINGLE-VALUE )<br><br>attributetype ( DUAConfSchemaOID:1.2 NAME 'preferredServerList'<br> DESC 'Preferred LDAP server host addresses to be used by a<br> DUA'<br> EQUALITY caseIgnoreMatch<br> SYNTAX 1.3.6.1.4.1.1466.115.121.1.15<br>