ich nutze Mailcow mit der Linuxmustererweiterung (Link).
Mein LDAP Dienst ist von aussen erreichbar und leistet bei Moodle und Nextcloud gute Dienste. Allerdings noch nicht bei Mailcow.
Laut den Logdateien beklagt Mailcow das selbstsignierte Zertifikat des LDAPS Dienstes.
mailcowcustomized_linuxmuster-mailcow | 2023-07-30 18:22:49 - [INFO] === Starting sync ===
mailcowcustomized_linuxmuster-mailcow | 2023-07-30 18:22:49 - [INFO] Step 1: Loading current Data from AD
mailcowcustomized_linuxmuster-mailcow | 2023-07-30 18:22:49 - [INFO] * Binding to ldap
mailcowcustomized_linuxmuster-mailcow | 2023-07-30 18:22:49 - [CRITICAL] !!! Error binding to ldap! {'result': -1, 'desc': "Can't contact LDAP server", 'ctrls': [], 'info': 'error:0A000086:SSL routines::certificate verify failed (unable to get local issuer certificate)'} !!!
mailcowcustomized_linuxmuster-mailcow | 2023-07-30 18:22:49 - [CRITICAL] !!! The sync failed, see above errors !!!
mailcowcustomized_linuxmuster-mailcow | 2023-07-30 18:22:49 - [INFO] sleeping 30 seconds before next cycle
Bei Moodle und Nextcloud kann man ja Einstellen, dass die Vertrauenswürdigkeit des Zertifikats nicht geprüft werden soll. Bei der Mailcow-Erweiterung geht das wohl nicht, oder? Kann ich alternativ den LDAPS Dienst mit einem gültigen Zertifikat betreiben? Wenn ja, wo fummelt man das ein?
Bei Moodle und Nextcloud kann man ja Einstellen, dass die
Vertrauenswürdigkeit des Zertifikats nicht geprüft werden soll.
…ich sage es indirekt dem php_ldap Modul, es solle solche Certs
akzeptieren durch den Eintrag von
TLS_REQCERT never
in der Datei /etc/ldap/ldap.conf
(einfach am Ende anfügen).
Bei der
Mailcow-Erweiterung geht das wohl nicht, oder?
mach das oben beschrieben mal und teste dann (vielleicht nach einem
reboot?).
Ansonsten such mal nach
mailcow ldap selfsigned
Kann ich alternativ den
LDAPS Dienst mit einem gültigen Zertifikat betreiben? Wenn ja, wo
fummelt man das ein?
… da gehen die Meinungen darüber, was eine gute Idee ist, auseinander.
Wenn du mich fragst: faß den ldap nicht an: der ist wie er ist und das
ist gut so und dann bekommst du keine seltsamen Nebeneffekte und keine
Probleme beim updaten.
Außerdem weiß ich nicht, ob das nachträglich geht.
Was du machen kannst (was ich auch gemacht habe) und was erschreckend
einfach ist, wenn du irgend wo einen Server mit nginx hast: einen LDAPs
Proxy einrichten.