Проблема

Во время настройки freeRADIUS при попытке запуска в LDAPS-режиме появляется ошибка о невозможности установить TLS-соединение с LDAP-сервером (AD Windows). В LDAP-режиме все работает корректно.

Диагностика

  • Проверить, что при подключении в консоли присутствуют сообщения вида:
    rlm_ldap (ldap): Opening additional connection (0), 1 of 32 pending slots used
rlm_ldap (ldap): Connecting to ldaps://<имя_сервера>:636
TLS: can't connect: (unknown error code).
rlm_ldap (ldap): Bind with CN=...,OU=...,OU=...,DC=...,DC=local to ldaps://<имя_сервера>:636 failed: Can't contact LDAP server
rlm_ldap (ldap): Opening connection failed (0)
rlm_ldap (ldap): Removing connection pool
  • Запросить информацию о сертификатах сервера:
    openssl s_client -connect <имя_сервера>:636
    Пример ожидаемого вывода (сервер ожидает цепочку сертификатов):
    Certificate chain
 0 s:
   i:DC=..., DC=..., CN=SERVER_NAME Enterprise CA
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Apr 1 00:00:00 2025 GMT; NotAfter: Apr 1 00:00:00 2030 GMT
 1 s:DC=..., DC=..., CN=SERVER_NAME Enterprise CA
   i:CN=SERVER_NAME ROOT-CA
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Oct 1 00:00:00 2017 GMT; NotAfter: Oct 1 00:00:00 2032 GMT
    где:
    • SERVER_NAME Enterprise CA — промежуточный сертификат;
    • SERVER_NAME ROOT-CA — корневой сертификат.

Возможная причина: Не настроена цепочка сертификатов. Перейти к решению.

Возможные причины