p
u
b
l
i
c
i
t
é
publicité
  1. #1
    Membre régulier
    Inscrit en
    octobre 2007
    Messages
    204
    Détails du profil
    Informations forums :
    Inscription : octobre 2007
    Messages : 204
    Points : 78
    Points
    78

    Par défaut ldapsearch fonctionne en LDAP mais pas en LDAPS

    Bonjour,

    J'ai un petit problème avec une machine sous Debian squeeze 6.0.6. En effet le ldapsearch en ldaps ne fonctionne pas sur cette machine, alors que son système d'authentification se fait sur l'annuaire LDAPS. Par contre je n'ai pas ce soucis en LDAP.

    J'ai un autre serveur en RedHat 5 dont la commande suivante fonctionne :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    ldapsearch -x -H 'ldaps://host.domaine.name.org' -b ou=People,dc=domain,dc=name,dc=org uid=*
    J'ai essayé cette commande sur la Debian, et j'ai eu le message d'erreur suivant :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
    Les certificats TLS sur les 2 machines sont identiques ......

    Je ne sais pas d'ou viens ce mystère....
    Merci de votre aide.

  2. #2
    Expert Confirmé Sénior
    Homme Profil pro
    Kebab manager
    Inscrit en
    septembre 2002
    Messages
    3 227
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Belgique

    Informations professionnelles :
    Activité : Kebab manager

    Informations forums :
    Inscription : septembre 2002
    Messages : 3 227
    Points : 5 896
    Points
    5 896

    Par défaut

    Aloha,

    http://trac.evolix.net/infogerance/w...ctiverSSLLDAPS

    Pourrais-tu vérifier les points suivants?

    Activer SSL (LDAPS)

    Rajouter dans cn=config :

    olcTLSCertificateFile: /etc/ssl/certs/ssl-cert-snakeoil.pem
    olcTLSCertificateKeyFile: /etc/ssl/private/ssl-cert-snakeoil.key
    olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
    Et dans /etc/default/slapd par exemple :

    SLAPD_SERVICES="ldap://127.0.0.1:389/ ldapi:/// ldaps:///"
    Suite à cette mise en place, si en tentant de se connecter au serveur apparaît l'erreur ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1), il se peut que ça soit dû au certificat non reconnu. Pour désactiver la vérification du certificat, sur le client, ajouter cette ligne dans /etc/ldap/ldap.conf :

    TLS_REQCERT never
    Alea Jacta Test!

  3. #3
    Membre régulier
    Inscrit en
    octobre 2007
    Messages
    204
    Détails du profil
    Informations forums :
    Inscription : octobre 2007
    Messages : 204
    Points : 78
    Points
    78

    Par défaut

    Merci Mygale,


    J'ai trouvé ...
    En ce qui me concerne le fichier /etc/ldap/ldap.conf doit être vide, puisque la configuration cliente se fait dans les fichiers /etc/libnss-ldap.conf et /etc/pam_ldap.conf.


    Ma réflexion était comment entrer le PATH du certificat dans la commande ldapsearch. Après avoir parcouru le man, il n'y pas d'option pour cela. Donc, d’après moi ldapsearch va lire cette information dans le fichier /etc/ldap/ldap.conf

    Il fallait simplement mettre la ligne du PATH du certificat dans le fichier /etc/ldap/ldap.conf :
    TLS_CACERT /etc/ssl/certs/server-cert.pem
    D'où la présence de ce vieux reliquat

    Encore merci

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [JMF] Code fonctionnant sous Linux mais pas sous XP
    Par Monsieur_Max dans le forum Multimédia
    Réponses: 4
    Dernier message: 25/05/2006, 18h57
  2. Réponses: 4
    Dernier message: 14/03/2006, 10h04
  3. Réponses: 2
    Dernier message: 23/11/2005, 17h10
  4. Fonction JS qui fonctionne avec Mozilla mais pas avec IE.
    Par etiennegaloup dans le forum JavaScript
    Réponses: 3
    Dernier message: 31/10/2005, 13h58
  5. Programme fonctionnant sur Eclipse mais pas avec le jar?
    Par kirik dans le forum Eclipse Java
    Réponses: 2
    Dernier message: 10/02/2004, 13h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo