LDAPS 在 Samba 4.3.11-Ubuntu 中不起作用

Posted 2023-02-16

【中文标题】LDAPS 在 Samba 4.3.11-Ubuntu 中不起作用

【英文标题】：LDAPS not working in Samba 4.3.11-Ubuntu

【发布时间】：2018-06-06 14:57:33

【问题描述】：

我在 Ubuntu 16.04 上运行 Samba 4.3.11-Ubuntu，我根本无法让 LDAPS（端口 636）工作。

Samba 作为 Active Directory 域控制器运行，其他 AD DC 功能似乎没问题。

这曾经可以工作，但现在该端口上没有任何监听。我不确定我做了什么来破坏它，但在我使用受信任的证书更新我的服务器后它停止工作。

这是 /etc/samba/smb.conf 的内容：

# Global parameters
[global]
workgroup = AD
realm = AD.<redacted>.COM
netbios name = SAMBADC
server role = active directory domain controller
dns forwarder = 8.8.8.8
idmap_ldb:use rfc2307 = yes
tls enabled  = yes
tls keyfile  = tls/ad.<redacted>.com.key
tls certfile = tls/c7535fc6c5e8e557.crt
tls cafile   = tls/gd_bundle-g2-g1.crt
ldap server require strong auth = allow_sasl_over_tls

[netlogon]
path = /var/lib/samba/sysvol/ad.<redacted>.com/scripts
read only = No

[sysvol]
path = /var/lib/samba/sysvol
read only = No

我得到的错误是：

nitsadmin@sambadc:/etc/samba$ telnet localhost 636
Trying 127.0.0.1...
Trying ::1...
telnet: Unable to connect to remote host: Cannot assign requested address

有人知道为什么这可能行不通吗？知道Cannot assign requested address 是什么意思吗？

【问题讨论】：

.conf 文件中的端口配置在哪里？ iptables 或 firewalld 怎么样，你能显示打开的端口吗？

【参考方案1】：

您能否在启动 samba 服务时提供一个在您的 smb.conf 参数 log file = 中指定的日志文件？

您的证书可能有问题。 您可以尝试的一件事是切换到autogenerated self-signed certificate，看看它是否能解决问题。如果是，您必须修复您的证书。

为此，请从 tls 文件夹中删除所有证书并重新配置 smb.conf：

tls enabled  = yes
tls keyfile  = tls/key.pem
tls certfile = tls/cert.pem
tls cafile   = tls/ca.pem

然后重启samba服务，看看是否有帮助。