Mise en place de TLS pour LDAP

tayduy · 20/04/2006, 09h35

Bonjour !!
Voila je voudrait mettre en place une liaison crypté entre mon serveur LDAP et les clients LDAP. Ceci se fait grâce à TLS, mais j'ai des problèmes pour le mettre en place. Quelqu' un l'a deja fait ? Et si vous avez des informations dessus, n'hesitez pas !!

Merci !

ovh · 20/04/2006, 12h42

Merci de nous décrire précisément quelle a été ta démarche, et ton problème exact (où tu coinces, quels sont les messages d'erreurs... ); sinon ça va être dur de t'aider...

tayduy · 20/04/2006, 13h27

D'accord voici une description de ce que je suis entrain de faire.
Je suis entrain de mettre en place un serveur LDAP pour remplacer le NIS.
Je m'attaque maintenant à la sécurité du serveur LDAP.En effet je voudrais utiliser la liaison TLS. Je l'ai mis en place mais j'ai eu une erreur...
J'ai crée tout d'abord la clé privée du serveur (serverkey.pem) puis la clé publique et la demande de certificat su serveur ( servercert.req) puis j'ai crée une clé privée pour le CA (cakey.pem), puis son certificat autosigné (cacert.pem) puis j'ai signé le certificat du serveur avec la clé et le certificat du CA.
En verifiant certificat du serveur avec openssl verify, c'est ok.

Or quand je fais un ldapsearch -b "dc=ldapserver, dc=cnrs-orleans, dc=fr" -ZZ "objectClass=*" j'ai une erreur du type :

Citation:

ldap_start_tls: Connect error (-11)
additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

ou encore une erreur du type :

Citation:

ldap_start_tls: Connect error (-11)
additional info: TLS: hostname does not match CN in peer certificate

Au niveau du serveur (slapd.conf) j'ai mis :

Citation:

TLSCertificateFile /etc/ldap/cert/servercert.pem
TLSCertificateKeyFile /etc/ldap/cert/serverkey.pem
TLSCACertificateFile /etc/ldap/cert/cacert.pem

Et au niveau du client (ldap.conf) j'ai mis :

Citation:

TLS_CACERT /etc/ldap/cert/cacert.pem

ssl start_tls
tls_checkpeer yes
tls_cacertfile /etc/ldap/cert/cacert.pem

J'ai bien sur fait une copie de cacert.pem sur la machine cliente

J'ai mis comme DN pour le cacert.pem : C=fr, ST=centre, L=orleans, O=cnrs-orleans, OU=lpce, CN=ca
Et pour le DN du serveur sur servercert.pem : C=fr, ST=centre, L=orleans, O=cnrs-orleans, OU=lpce, CN=ldapserver.cnrs-orleans.fr

ldapserver etant le hostname de mon serveur LDAP, et je suis dans le domaine cnrs-orleans.fr

Voila si vous avez une solution à me proposer...

Merci d'avance

julp · 20/04/2006, 18h37

1) Vérifier que votre client utilise bien les certificats si le serveur le demande (il y a différents niveaux dans le slapd.conf - voir la directiveTLSVerifyClient). Ainsi, pour que le client les utilise il existe plusieurs méthodes : variables d'environnement ou encore un fichier local caché (informations que l'on trouve dans les pages man).

2) Pour ldapsearch et autres clients, utiliser le nom de votre machine serveur (DNS), que vous avez déclaré pour créer votre certificat serveur.

Julp.

20/04/2006, 09h35	#1
tayduy Invité de passage Inscription : avril 2006 Messages : 2 Détails du profil Informations forums : Inscription : avril 2006 Messages : 2 Points : 0 Points : 0	Mise en place de TLS pour LDAP Bonjour !! Voila je voudrait mettre en place une liaison crypté entre mon serveur LDAP et les clients LDAP. Ceci se fait grâce à TLS, mais j'ai des problèmes pour le mettre en place. Quelqu' un l'a deja fait ? Et si vous avez des informations dessus, n'hesitez pas !! Merci !
	00

20/04/2006, 12h42	#2
ovh Rédacteur Ingénieur développement logiciels Inscription : mai 2002 Messages : 3 725 Détails du profil Informations personnelles : Sexe : Âge : 34 Localisation : France Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : mai 2002 Messages : 3 725 Points : 6 310 Points : 6 310	Merci de nous décrire précisément quelle a été ta démarche, et ton problème exact (où tu coinces, quels sont les messages d'erreurs... ); sinon ça va être dur de t'aider... __________________ Tutoriels sur les UPS, e-commerce, PHP, critiques de livres... Ce forum est fait pour vous et surtout par vous, merci d'en respecter les règles. Je n'ai rien à voir avec la société www.ovh.com !
	00

20/04/2006, 18h37	#4
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	1) Vérifier que votre client utilise bien les certificats si le serveur le demande (il y a différents niveaux dans le slapd.conf - voir la directiveTLSVerifyClient). Ainsi, pour que le client les utilise il existe plusieurs méthodes : variables d'environnement ou encore un fichier local caché (informations que l'on trouve dans les pages man). 2) Pour ldapsearch et autres clients, utiliser le nom de votre machine serveur (DNS), que vous avez déclaré pour créer votre certificat serveur. Julp.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email