[debian]mise en place LDAP+SSL/TLS

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : [debian]mise en place LDAP+SSL/TLS

redridinghood

bonjour,

voila, j'ai un annuaire en place qui fonctionne correctement avec les outils clients classiques (ldapsearch...) , installe sur une debian sid (via un classique apt-get install slapd).
j'ai crée mes certificats, rajoute les lignes
TLSCertificateFile
TLSCertificateKeyFile
TLSCACertificateFile

dans slapd.conf,

j'ai configure le fichier client, activé ldaps dans /etc/defaut/slapd,
un petit netstat -an me montre que le port 636 est bien en ecoute, mais quand je fais un ldapsearch -H "ldaps://monserveur" -D "cn=admin,..." -W -x ... , ca me donne un ldap_bind:can't contact ldap server (-1)

si quelqu'un a une idée.
merci !

Publicité

redridinghood

redridinghood

redridinghood

Bigon

Avis défavorable

Il y a rien dans les logs? Les certificats sont bien lisible par le serveur ldap?

---------------
Le salut ne viendra pas d'esprits au garde-à-vous.

redridinghood

non rien ds les logs, en fait je pense qu'il n'arrive meme pas a contacter mon serveur LDAP, mais pourquoi ?? le port 636 est bien en ecoute..

a noter que ca marche nickel sans SSL...

redridinghood

phoenix-dark

SyStEm Of A dOwN

Salut
Voici ce que j'ai dû faire :

cd /usr/lib/ssl/

Création d'une autorité de certification :

Code :

mkdir certs csr datas keys private datas/ca.db.certs
touch private/ca.key datas/ca.db.serial
cp /dev/null datas/ca.db.index
openssl rand 1024 > datas/random-bits

On génère la clé de la CA :

openssl genrsa -des3 -out private/ca.key 1024 -rand datas/random-bits

On la protège :

chmod 600 private/ca.key

On crée le certificat de la CA :

Code :

openssl req -new -x509 -days 3650 -key private/ca.key -out certs/ca.pem
Pays : FR
Département : 13
Ville : ville
Organisation : organisation
Section : section
Common name : CA
email : root@localhost

Edite le fichier de la CA :

vi ca.conf

Code :

default_ca = default_CA
[ default_CA ]
dir = .
certs = ./certs
new_certs_dir = ./datas/ca.db.certs
database = ./datas/ca.db.index
serial = ./datas/ca.db.serial
RANDFILE = ./datas/random-bits
certificate = ./certs/ca.pem
private_key = ./private/ca.key
default_days = 730
default_crl_days = 30
default_md = md5
preserve = no
x509_extensions = server_cert
policy = policy_anything
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ server_cert ]
#subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
extendedKeyUsage = serverAuth,clientAuth,
basicConstraints = critical,CA:false

echo '01' > datas/ca.db.serial

Ensuite il faut créer une certificat pour slapd :

Code :

openssl genrsa -out keys/ldap.organisation.fr.key 1024
openssl req -new -key keys/ldap.organisation.fr.key -out csr/ldap.organisation.fr.csr
Pays : FR
Département : 13
Ville : ville
Organisation : organisation
Section : section
Common name : ldap.organisation.fr
email : root@localhost

On fait signer le certificat par la CA :

openssl ca -config ca.conf -out certs/ldap.organisation.fr.txt -infiles csr/ldap.organisation.fr.csr

perl -n -e 'm/BEGIN CERTIFICATE/ && do {$$seen=1}; $$seen && print;' < certs/ldap.organisation.fr.txt > certs/ldap.organisation.fr.pem

Vérifie que le certificat est bon :

openssl verify -CAfile certs/ca.pem certs/ldap.organisation.fr.pem

On copie ensuite ce qu'il faut dans le répertoire de slapd :

Code :

mkdir /etc/ldap/ssl
cp certs/ca.pem /etc/ldap/ssl/
cp certs/ldap.organisation.fr.pem /etc/ldap/ssl/
cp keys/ldap.organisation.fr.key /etc/ldap/ssl/

Puis dans /etc/ldap/slapd.conf :

Code :

TLSCertificateFile /etc/ldap/ssl/ldap.organisation.fr.pem
TLSCertificateKeyFile /etc/ldap/ssl/ldap.organisation.fr.key
TLSCACertificateFile /etc/ldap/ssl/ca.pem

Un lien que je viens de trouver et qui a l'air interessant :
http://www-lor.int-evry.fr/~michel [...] S-SSL.html

:hello:

Message édité par phoenix-dark le 11-08-2005 à 21:40:47

---------------
Pingouins dans les champs, hiver méchant.

redridinghood

toute la conf pour les certificats est correcte, en fait ca bloque a la connexion au serveur LDAP.
je vais regarder ton lien, merci !

redridinghood

mes certificats sont ok, ma conf ok (je pense) je la poste ce soir.

Publicité

redridinghood

bon, mes certificats sont ok, le CN est bien le nom du serveur ldap, j'ai rajoute les lignes
* TLSCertificateFile /etc/ldap/ssl/ldapcert.crt
* TLSCertificateKeyFile/etc/ldap/ssl/ldapcert.key
* TLSCACertificateFile /etc/ldap/ssl/cacert.pem

et quand je fais un ldapsearch -H ldaps://nomduserveurldap

ca me sort toujours : can't contact LDAP server(-1)

un lsof -i tcp 636,389 me montre que slapd ecoute bien sur ces 2 ports....

je desespere !!!!

redridinghood

redridinghood

redridinghood

personne ?

redridinghood

redridinghood

ceyquem

E falso sequitur quodlibet

je ne connais pas trop les commandes lsof et netstat mais est-ce qu'elles tiennent compte d'un éventuel firewall ?

FORUM HardWare.fr

Linux et OS Alternatifs

[debian]mise en place LDAP+SSL/TLS

Sujets relatifs
[Debian/Ubuntu] Nvidia, Qt et contexte OpenGL	Compilation driver wifi (rt2400) sous debian
[debian] plein de problèmes de newbie [nvidia inside]	Problème paquets foireux bootsplash debian
mise a jour mandrake	Debian Sarge problème de son
Debian: linux(kernel\|image\|header)	pb SMEG 0.7.5 sur debian sarge
Debian - Probleme de connexion modem Ethernet	mp3 sous debian
Plus de sujets relatifs à : [debian]mise en place LDAP+SSL/TLS

Page générée en 0.047 secondes