Пытаюсь поднять на Netware 6.5SP8 (eDir 8.8 SP5 20506.07) OpenSSH.
Установил продукт, поставил обновление NWsshd8b - вроде как последнее.
В конфиге изменил только Protocol 2, а так же edirAliasUserNames и eDirNameContext.
При подключении ошибка на клиенте: Access denied
В логе:
27 May - 10:01:13[0000735509] (a9e871a0)SSHD Session <1> error: Search for user username in context ou=TEST,o=TREE failed with error Can't contact LDAP server, continuing search
27 May - 10:01:13[0000735509] (a9e871a0)SSHD Session <1> error: Search for user username in context ou=TEST,o=TREE failed with error Can't contact LDAP server, continuing search
27 May - 10:01:13[0000735509] (a9e871a0)SSHD Session <1> : Failed password for username from <IP> port 62777 ssh2
Вывод dstrace при включенном auth и ldap:
Monitor 0x1cd initiating TLS handshake on connection 0x783c49c0
(127.0.0.1:2347)(0x0000:0x00) DoTLSHandshake on connection 0x783c49c0
(127.0.0.1:2347)(0x0000:0x00) TLS accept failure 5 on connection 0x783c49c0, setting err = -5875. Error stack:
(127.0.0.1:2347)(0x0000:0x00) TLS handshake failed on connection 0x783c49c0, err = -5875
Server closing connection 0x783c49c0, socket error = -5875
Connection 0x783c49c0 closed
Погуглил на предмет TLS accept failure 5 - похоже ошибка при проверке сертификата при подключении к LDAP.
LDAP развернут и давно успешно функционирует на этом сервере. Настроен на SSL подключение с proxy user. Через LDAP у меня авторизуется, например почта. Сертификат на LDAP не прокис (выпускал новый в этом году), корневой сертификат так же в норме.
sys:/public/rootcert.der - актуальный корневой сертификат.
Тестирование с консоли сервера:
lsearch -v -h localhost -p 636 -e sys:\public\rootcert.der (cn=username)
проходит.
Пробовал в конфиге sshd указывать директиву:
ldapauthhost 127.0.0.1 636 secure <путь к сертификату>
Подставлял разные выгруженные сертификаты - не помогало, результат тот же. Поэтому сейчас она закоментирована.
Подскажите, плз., куда еще копать?