Hallo Leute,
ich versuche mich schon seit ein paar Tagen mit der Anbindung meiner Opnsense an ein Microsoft AD. Vorzugsweise soll der Connect natürlich über LDAPs funktionieren.
Das MS AD hat eine zweistufige PKI im Hintergrund. Das RootCA ist im Truststore der Opnsense. Dennoch klappt die Verbindung mittles LDAPs nicht. Bekomme immer die Meldung:
opnsense: Could not startTLS on ldap connection [error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get issuer certificate),Connect error]
Egal ob StartTLS oder SSL verwendet wird.
Danke für die Hilfe.
mFg
Mach das am besten mit HAProxy, auf meiner Seite hab ich irgendwann Mal ne Anleitung dazu geschrieben.
Bin mir nicht sicher wie mir ein HAProxy beim User-Inventory auf der OPNSense weiterhelfen kann?
Bitte um weitere Unterstützung, oder gibt es niemanden der das zum laufen bekommen hat mit LDAPS?
mfg
Doch gibt viele, aber meistens ist es irgendwas dazwischen was man per remote nicht debuggen kann.
Die Idee ist, HAproxy oder stunnel von 127.0.0.1:389 nach <domaincontrolker>:636 das SSL machen zu lassen und eine Klartext-LDAP-Verbindubg nach 127.0.0.1 zu verwenden.
https://www.routerperformance.net/opnsense-bypass-ldaps-errors-via-haproxy/
Danke für den Hinweis und fürs heraussuchen von deiner HP.
Aber wie eben auf deiner HP bereits beschrieben, sauber ist anders...
Gibt es eventuell eine klare Begründung weshalb es mit den "onBoard" mittel nicht klappt und man zu solchen Kunstgriffen greifen muss?
Bzw. gibt es eine Möglichkeit wie man mittels Debugging vorwärts kommt? Die eine Zeile ist ja nun eher wenig Aussagekräftig.
mfg
Du musst dir mit openssl connect Befehl das Zertifikat ziehen und dann importieren + root Zertifikat, plus CN muss per Anfrage übereinstimmen, also brauchst du eventuell einen Host Override.
Ich habs ehrlich gesagt immer mit HAProxy gemacht weil du gleich mehrere DCs angeben kannst, mit Boardmitteln geht ja nur einer.