Bonjour,
J’essaye d’activer la sécurité ssl avec mon LDAP, mais ça ne fonctionne pas, jai suivi quelque tutoriaux, mais sans grand résultat. Pouvait vous m’aider. J’utilise debian 6.
Merci,
kidrek.fr…
www.vogelweith.com…
Edité le 15/02/2011 à 16:25
J’ai suivi ce tutoriel : kidrek.fr…
Quand je fait la commande pour tester : ldapsearch -x “(objectClass=*)” -H 192.168.110.130…
Sa me donne cette erreur : ldap_sasl_bind(SIMPLE): Can’t contact LDAP server (-1)
mais si j’enleve le s de …
Sa fonctionne.
Quand je fait
netstat -plane |grep “:636”
Sa ne me donne rien
Pouvait vous m’aider
Edité le 16/02/2011 à 20:36
Bonjour,
pouvez-vous détailler davantage votre problème ? S’agit-il d’un outil mobile ?
De quel type de certificat s’agit-il ?
De quelle Autorité de certification ? S’agit-il de VeriSign, thawte, GlobalSign, Geotrust, RapidSSL ?
En attente de vous lire,
Cordialement,
Networking4all
J’utilise GlobalSSL
L’idée et d’avoir un ldap sécuritaire donc avoir SLL, permet de renforcir la sécurité, J’ai tester le certificat et il est ok, j’ai vérifier les endroit ou je doit mettre mon domaine et sa ne fonctionne toujours pas.
Peut etre une question e droit de ldap sur les fichier de certification ?
J’ai modifier le fichier /etc/default/slapd en mettant:
SLAPD_SERVICES="ldap:/// …
netstat -plane |grep “:636” fonctionne maintenant, il me retourne :
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN 0 4958 1762/slapd
tcp6 0 0 :::636 :::* LISTEN 0 4959 1762/slapd
Aussi quand je fais ldapsearch -b “dc=domaine” -ZZ -xh debian6
Ça me donne
ldap_start_tls: Protocol error (2)
additional info: unsupported extended operation
Mais j’ai toujours le même problème, il me dit qu’il ne peut pas se connecter à mon serveur LDAP.
ldap_sasl_bind(SIMPLE): Can’t contact LDAP server (-1)
Jutilise une vraie certification SSL.
Des idées ?
Quand je fais
openssl s_client -connect nom du serveur ldap:636
Sa me donne : CONNECTED(00000003)
3551:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:
Des idée de solution.
Merci,
up
J’ai décidé de compiler LDAP avec SLL directement, ça fonctionne, mais j’ai une erreur quand, je veux démarrer mon serveur slapd avec cette commande
./slapd -d127 -h "ldap:/// … -f /usr/local/etc/openldap/slapd.conf
@(#) $OpenLDAP: slapd 2.4.23 (Apr 1 2011 15:34:33) $
root@debian6:/home/simon/openldap-2.4.23/servers/slapd
ldap_pvt_gethostbyname_a: host=exemple, r=0
daemon_init: …[/url] [url=ldaps:///]…
daemon_init: listen on …
daemon_init: listen on …
daemon_init: 2 listeners to open…
ldap_url_parse_ext(ldap:///)
daemon: listener initialized …
ldap_url_parse_ext(ldaps:///)
daemon: listener initialized …
daemon_init: 4 listeners opened
ldap_create
slapd init: initiated server.
bdb_back_initialize: initialize BDB backend
bdb_back_initialize: Berkeley DB 4.8.30: (April 9, 2010)
hdb_back_initialize: initialize HDB backend
hdb_back_initialize: Berkeley DB 4.8.30: (April 9, 2010)
reading config file /usr/local/etc/openldap/slapd.conf
line 17 (pidfile /usr/local/var/run/slapd.pid)
line 18 (argsfile /usr/local/var/run/slapd.args)
line 20 (TLSCipherSuite HIGH:MEDIUM:+TLSv1:+SSLv2:+SSLv3 )
line 21 (TLSCertificateFile /usr/local/etc/openldap/CA/server.pem )
line 22 (TLSCertificateKeyFile /usr/local/etc/openldap/CA/server.key )
line 23 (TLSCACertificateFile /usr/local/etc/openldap/CA/cacert.pem )
line 24 (TLSVerifyClient never)
line 52 (access to * by self write by users read by anonymous auth)
line 64 (database hdb)
hdb_db_init: Initializing HDB database
line 65 (suffix “dc=exemple,dc=com”)
dnPrettyNormal: <dc=exemple,dc=com>
=> ldap_bv2dn(dc=exemple,dc=com,0)
<= ldap_bv2dn(dc=exemple,dc=com)=0
ldap_err2string
/usr/local/etc/openldap/slapd.conf: line 65: invalid DN 21 (Invalid syntax)
slapd destroy: freeing system resources.
slapd stopped.
Voila mes fichiers de config
/etc/ldap/ldap.conf
BASE dc=exemple,dc=com
URI adresse… ip de la machine
tls_checkpeer yes
tls_ciphers HIGH
ssl yes
tls_cacert /usr/local/etc/openldap/CA/cacert.pem
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
/usr/local/etc/openldap/slapd.conf
#include /usr/local/etc/openldap/schema/core.schema
#include /usr/local/etc/openldap/schema/cosine.schema
#include /usr/local/etc/openldap/schema/nis.schema
#include /usr/local/etc/openldap/schema/inetorgperson.schema
#referral root.openldap.org…
pidfile /usr/local/var/run/slapd.pid
argsfile /usr/local/var/run/slapd.args
TLSCipherSuite HIGH:MEDIUM:+TLSv1:+SSLv2:+SSLv3
TLSCertificateFile /usr/local/etc/openldap/CA/server.pem
TLSCertificateKeyFile /usr/local/etc/openldap/CA/server.key
TLSCACertificateFile /usr/local/etc/openldap/CA/cacert.pem
TLSVerifyClient never
moduleload back_hdb
access to *
by self write
by users read
by anonymous auth
#######################################################################
#######################################################################
database hdb
suffix “dc=exemple,dc=com”
rootdn “cn=admin,dc=exemple,dc=com”
rootpw {SSHA}bgFRgv7+wknb3Xj7WVda3js/Hx8n6Yw2
rootpw secret
directory /usr/local/var/openldap-data
index objectClass eq
index uid eq
Je vois bien quil me dit quil y a une erreur de syntaxe, mais je ne vois rien.
De plus, je ne trouve pu mes schémas, jai cherché dans /usr/local/etc/openldap/schema mais je nest rien trouver.
Merci à lavance
Edité le 06/04/2011 à 16:06
J’ai trouvé la solution.
qui était?
Il fallait transférer les schémas de l’installe de openldap dans ce dossier /usr/local/etc/openldap/schema