Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2113 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Ldap + TSL SSL ne fonctionne pas [OPen susE 10.2]

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Ldap + TSL SSL ne fonctionne pas [OPen susE 10.2]

n°1057250
flavio_dev
Posté le 02-07-2008 à 13:16:47  profilanswer
 

bonjour a tous
 
Je suis en train de monter un systeme Samba couple avec Ldap pour un active directory sous Suse 10.2.
 
Pour commencer, j'ai installer un samba qui tourne. J'ai mis dans la balise [global] :  

Code :
  1. [global]
  2. ...
  3. netbios name = Flavios_Netbios
  4. ...


Je peux ping cette machine serveur en tapant ping Flavios_Netbios a partir d'une machine cliente distante. Chose etonnante, le meme ping avec la propre machine serveur me donne un :
linux-ulou: /etc/ssl/openldap # ping Flavios_Netbios
ping: unknown host Flavios_Netbios

(ma machine a pour nom host linux-ulou. Je ne peux la ping qu'avec l'@ IP (probleme de gestion des noms peut etre...) mais lorsque le serveur samba est lance, on peut ping cette machine serveur avec Flavios_Netbios ou l'@ IP bien sur).
Maintenant, mon serveur ldap. Dans un premier temps, je ne souhaite pas le coupler, je veux juste le faire fonctionner... ce que j'ai reussi a faire sans l'utilisation de securite ssl.
 
J'ai une arborecence comme ca :
dc=gov
  |-  c=fr
  |-  c=uk
      |- o=...
    ......
 
Voici mon fichier slapd.conf

Code :
  1. include  /etc/openldap/schema/core.schema
  2. include  /etc/openldap/schema/cosine.schema
  3. include  /etc/openldap/schema/inetorgperson.schema
  4. include  /etc/openldap/schema/rfc2307bis.schema
  5. include  /etc/openldap/schema/yast.schema
  6. # Define global ACLs to disable default read access.
  7. # Do not enable referrals until AFTER you have a working directory
  8. # service AND an understanding of referrals.
  9. #referral ldap://root.openldap.org
  10. pidfile  /var/run/slapd/slapd.pid
  11. argsfile /var/run/slapd/slapd.args
  12. # Load dynamic backend modules:
  13. modulepath /usr/lib/openldap/modules
  14. # moduleload back_ldap.la
  15. # moduleload back_meta.la
  16. # moduleload back_monitor.la
  17. # moduleload back_perl.la
  18. # Sample security restrictions
  19. # Require integrity protection (prevent hijacking)
  20. # Require 112-bit (3DES or better) encryption for updates
  21. # Require 63-bit encryption for simple bind
  22. # security ssf=1 update_ssf=112 simple_bind=64
  23. # Sample access control policy:
  24. #       Root DSE: allow anyone to read it
  25. #       Subschema (sub)entry DSE: allow anyone to read it
  26. #       Other DSEs:
  27. #               Allow self write access to user password
  28. #               Allow anonymous users to authenticate
  29. #               Allow read access to everything else
  30. #       Directives needed to implement policy:
  31. access to dn.base=""
  32.         by * read
  33. access to dn.base="cn=Subschema"
  34.         by * read
  35. access to attrs=userPassword,userPKCS12
  36.         by dn="cn=admin,dc=gov" write
  37.         by * auth
  38. access to attrs=shadowLastChange
  39.         by dn="cn=admin,dc=gov" write
  40.         by * read
  41. access to *
  42.         by * read
  43. # if no access controls are present, the default policy
  44. # allows anyone and everyone to read anything but restricts
  45. # updates to rootdn.  (e.g., "access to * by * read" )
  46. #
  47. # rootdn can always read and write EVERYTHING!
  48. #######################################################################
  49. # BDB database definitions
  50. #######################################################################
  51. database bdb
  52. #repertoire racine > le noeud supperieur de votre repertoire LDAP
  53. suffix dc=gov
  54. checkpoint      1024    5
  55. cachesize 10000
  56. rootdn cn=admin,dc=gov
  57. #admin est le nom distinct du gestionnaire de repertoire
  58. # Cleartext passwords, especially for the rootdn, should
  59. # be avoid.  See slappasswd(8) and slapd.conf(5) for details.
  60. # Use of strong authentication encouraged.
  61. rootpw  admin
  62. # The database directory MUST exist prior to running slapd AND
  63. # should only be accessible by the slapd and slap tools.
  64. # Mode 700 recommended.
  65. directory /var/lib/ldap
  66. # Indices to maintain
  67. index objectClass eq
  68. TLSCertificateFile /etc/ssl/openldap/ldap_cert.pem
  69. TLSCertificateKeyFile /etc/ssl/openldap/ldap_key.pem


Cette configuration me permettais (avant l'installation des certifs) d'acceder a mon serveur ldap a partir d'un client distant (bien sur, il n'y avait pas les lignes TLSCertificateFile /etc/ssl/openldap/ldap_cert.pem et TLSCertificateKeyFile /etc/ssl/openldap/ldap_key.pem dans le fichier ci dessus).
 
Pour mettre en place le ssl, voici le tuto que j'ai applique : http://arnofear.free.fr/linux/temp [...] o=2&page=5
 
Le moment crucial est lorsqu'il faut entrer le nom FQDN. Pour ma part, j'ai mis Flavios_Netbios.gov. Est ce bien cela qu'il faut mettre dans mon certif ?
 
En accord avec le tuto, j'ai donc mis les liens dans le fichier slapd.conf vers ces deux certifs (voir le code si dessus ligne 81 et 82).
Toujours en accord avec le tuto, voici une partie de mon fichier /etc/ldap.conf :

Code :
  1. # OpenLDAP SSL mechanism
  2. # start_tls mechanism uses the normal LDAP port, LDAPS typically 636
  3. ssl start_tls
  4. ldap_version 3
  5. pam_filter objectclass=posixAccount
  6. nss_base_passwd cn=admin,dc=gov
  7. nss_base_shadow cn=admin,dc=gov
  8. nss_base_group cn=admin,dc=gov
  9. tls_checkpeer no
  10. ssl on


Enfin et toujours en suivant les instructions, voici mon fichier /etc/openldap/ldap.conf

Code :
  1. BASE dc=gov
  2. URI ldaps://Flavios_Netbios.gov
  3. #SIZELIMIT 12
  4. #TIMELIMIT 15
  5. #DEREF  never
  6. TLS_REQCERT  allow
  7. #TLS_CACERT  Il n'y en a pas !? Ou est il ???
  8. TLS_CACERTDIR /etc/ssl/openldap


Precision, dans le tuto, il est question a un moment de "Copiez le (ou les) certificat(s) sur vos clients dans /etc/ssl/openldap/". Qu'est ce que cela signifie ? Mes clients sont des machines Windows Xp...
 
Enfin la fin du fin, je tape la commande ldapsearch -x -H ldaps://Flavios_Netbios.gov -D "cn=admin,dc=gov" -w admin -b "dc=gov" et bien sur, j'ai l'erreur ldap_bind: Can't contact LDAP server (-1)
 
Je relance le serveur ldap, pensant que les modifications n'avaient pas ete prises en compte et voici ce que ca me met:

Shutting down ldap-server                                                                                      done
Starting ldap-serverstartproc:  exit status of parent of /usr/lib/openldap/slapd: 1         failed
Checking for service ldap:                                                                                     unused

 :cry:  
Mon serveur ne redemarrant pas, je me pose donc cette question : voyez vous une mauvaise manipulation de ma part pour que ce fichu serveur ne se lance pas !?
 
Pour vous aidez, voici le resultat d'un tail /var/log/messages :

Jul  2 11:53:09 linux-ulou slapd[5076]: conn=5 fd=12 ACCEPT from IP=192.168.254.80:1025 (IP=0.0.0.0:389)
Jul  2 11:53:09 linux-ulou slapd[5076]: conn=5 op=0 BIND dn="" method=128
Jul  2 11:53:09 linux-ulou slapd[5076]: conn=5 op=0 RESULT tag=97 err=2 text=historical protocol version requested, use LDAPv3 instead
Jul  2 11:53:09 linux-ulou slapd[5076]: conn=5 op=1 UNBIND
Jul  2 11:53:09 linux-ulou slapd[5076]: conn=5 fd=12 closed

Merci d'avoir lu ce post jusqu'au bout. Si quelqu'un connait la solution... ou un debut d'explication... toute remarque est la bienvenue!!
Flavio_dev


Message édité par flavio_dev le 02-07-2008 à 13:46:33
mood
Publicité
Posté le 02-07-2008 à 13:16:47  profilanswer
 

n°1057641
flavio_dev
Posté le 03-07-2008 à 11:55:00  profilanswer
 

Quelqu'un a une idee ?

n°1221556
charlene06
Posté le 03-06-2010 à 17:03:28  profilanswer
 

flavio_dev a écrit :

Quelqu'un a une idee ?


Bonjour,
Depuis ça fonctionne? J'ai le me soucis que toi....


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Ldap + TSL SSL ne fonctionne pas [OPen susE 10.2]

 

Sujets relatifs
ldap + tlsPourquoi le changement d'adresse mac ne fonctionne pas (EEEpc/Xandros)
[LDAP] probleme ldap.conf[RESOLU]Postfix + Courier-imap + LDAP
SMBLDAP-TOOLS SAMBA LDAP . Probleme de remplissage ldap.Probème de lenteur sur LDAP
Certificat SSL FreeBSD/LinuxFreeRadius / LDAP
Probleme SSL-Generation de certificatsProblème Open office et codage des caractères : fichiers bloqués
Plus de sujets relatifs à : Ldap + TSL SSL ne fonctionne pas [OPen susE 10.2]


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR