PADL nss_ldap の TLS 関連のバグ?

Debian GNU/Linux 4.0 (etch) の nss_ldap (libnss-ldap パッケージ) で LDAP over SSL な URI を試していたところ、 テストで実行していた getent passwd の応答がえらく遅い。 strace でシステムコールを追ってみたところ、 /etc/ssl/certs 以下にある大量の証明書をすべて参照しており、 そいつに時間がかかっていることが判明。 なお、c_rehash は実行済み。

しかも、 nssldap の設定ファイル /etc/libnss-ldap.conftlscacertdirtlscacertfile の値が完全に無視されており、 OpenLDAP のライブラリの設定ファイル /etc/ldap/ldap.confTLSCACERTDIRTLSCACERT でないと設定できない問題が発生。

Debian の BTS見たところ、 すでに報告されていた問題だった。 やれやれ…。

この問題を回避するには、 /etc/ldap/ldap.confTLSCACERTDIR をコメントアウトし、 TLSCACERT に OpenLDAP サーバー (slapd) で使用している証明書の発行元 CA の証明書だけを指定する。 

#TLSCACERTDIR /etc/ssl/certs
TLSCACERT /etc/ssl/certs/private-ca.crt

この投稿は fumiyas によって作成され、2006-12-16 02:05 に公開されました。LDAP, ダメ出し, 仕事 カテゴリーに属し、 が付けられています。ブックマークにはこのページの パーマリンク を登録するとよいでしょう。この投稿へのコメントは RSS フィードで購読することができます。 この投稿にコメントを残すことができます。また、ご自分のサイトからトラックバックを送ることも可能です。この投稿のトラックバックURL
add to hatena hatena.comment (0) add to del.icio.us (0) add to livedoor.clip (0) add to Yahoo!Bookmark (0) Total: 0

コメントを書く

Your email is never shared. * 印の項目は必須項目です。

*
*