Sobald auf der Firewall SSL/LDAPS aktiviert wird, schlägt der Verbindungsaufbau zum DC fehl.
beim aktivieren von SSL über die GUI konfiguriert die Firewall intern:
/etc/openldap/ldap.conf
+ ldaps://fqdn -> Port 636
+ TLS_CACERTDIR /etc/ssl/certs/
+ TLS_CACERT /etc/ssl/certs/CA.crt -> korrektes Cert wird verwendet
+ SASL_SECPROPS maxssf=256
/etc/samba/smb.conf
+ ldap ssl = start tls -> Müsste eigentlich Off heißen??
StartTLS würde ja eine unverschlüsselte LDAP-Verbindung über Port 389 voraussetzten, während LDAPS bereits beim Verbindungsaufbau TLS nutzt. Dies würde das Scheitern der SSL-Verbindung erklären. Oder habe ich einen Denkfehler?
Den FQDN des DCs kann die Firewall in beide Richtungen auflösen. Probleme mit dem Zertifikat(kette) kann ich mir nicht vorstellen da es auf unseren Linux Servern problemlos funktioniert.
Woran könnte es sonst noch liegen? Hat jemand eine Idee, wie man das debuggen kann? Im Eventlog am DC habe ich nichts Relevantes gefunden.
Info: Wir haben Version 14.0.9.2