Zertifikat funktioniert nicht bei LDAP

Liebe Alle,

nachdem unser LDAPs im internen 10er Netz alles tut, was es soll, habe ich auf einer externen Maschine folgendes Problem.
Bei der Abfrage:

root@dienste:~# ldapsearch -b „ou=default-school,ou=SCHOOLS,dc=linuxmuster,dc=lan“ -H ldaps://server.XXX.de:636 -x -D test@linuxmuster.lan -W givenName=test -d1

bekomme ich folgendes Ergebnis:

ldap_url_parse_ext(ldaps://server.XXX.de:636)
ldap_create
ldap_url_parse_ext(ldaps://server.XXX.de:636/??base)
Enter LDAP Password:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP server.XXX.de:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying X.X.X.X:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: hostname (server.XXX.de) does not match common name in certificate (server.linuxmuster.lan).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can’t contact LDAP server (-1)
root@dienste:~#

Das Zertifikat ist auf „server.linuxmuster.lan“ ausgestellt, was im 10er Netz gut funktioniert, Wie komme ich nun zu einem Zertifikat, dass den Hostnamen „server.XXX.de“ akzeptiert? Der Versuch, in der OPNSense ein entsprechendes Zertifikat zu erstellen, brachte keine Verbesserung. Leider bin ich nicht für Zertifikate zertifiziert, aber hier findet sich bestimmt jemand…
Schon mal vielen Dank
markus

Hallo Markus,

du benötigst einen LDAPS - Reverse Proxy, der nach außen ein gültiges Zertifikat nutzt. Dieses könntest du kaufen oder ein LE-Zertifikat nutzen.

Liebe Grüße,
Simon

Vielleicht hilft das: Nginx Sample Config of HTTP and LDAPS Reverse Proxy – Jackie Chen's IT Workshop

LG Jesko

Erweiterung für die nginx.conf

stream {

server {
# LDAPS terminates here
listen 636 ssl;
proxy_pass server.linuxmuster.lan:636;
ssl_certificate /etc/nginx/server.xxx.de.pem;
ssl_certificate_key /etc/nginx/server.xxx.de.key;
}
}