Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Mise en place de TLS pour LDAP
Bonjour !!
Voila je voudrait mettre en place une liaison crypté entre mon serveur LDAP et les clients LDAP. Ceci se fait grâce à TLS, mais j'ai des problèmes pour le mettre en place. Quelqu' un l'a deja fait ? Et si vous avez des informations dessus, n'hesitez pas !!
Merci !
Merci de nous décrire précisément quelle a été ta démarche, et ton problème exact (où tu coinces, quels sont les messages d'erreurs... ); sinon ça va être dur de t'aider...
Tutoriels sur les UPS, e-commerce, PHP, critiques de livres...
Pensez à consulter les FAQs et les cours et tutoriels.
FAQ Linux - Cours et tutoriels Linux - FAQ PHP - Cours et tutoriels PHP
Ce forum est fait pour vous et surtout par vous, merci d'en respecter les règles.
Je n'ai rien à voir avec la société www.ovh.com !
D'accord voici une description de ce que je suis entrain de faire.
Je suis entrain de mettre en place un serveur LDAP pour remplacer le NIS.
Je m'attaque maintenant à la sécurité du serveur LDAP.En effet je voudrais utiliser la liaison TLS. Je l'ai mis en place mais j'ai eu une erreur...
J'ai crée tout d'abord la clé privée du serveur (serverkey.pem) puis la clé publique et la demande de certificat su serveur ( servercert.req) puis j'ai crée une clé privée pour le CA (cakey.pem), puis son certificat autosigné (cacert.pem) puis j'ai signé le certificat du serveur avec la clé et le certificat du CA.
En verifiant certificat du serveur avec openssl verify, c'est ok.
Or quand je fais un ldapsearch -b "dc=ldapserver, dc=cnrs-orleans, dc=fr" -ZZ "objectClass=*" j'ai une erreur du type :ou encore une erreur du type :ldap_start_tls: Connect error (-11)
additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failedAu niveau du serveur (slapd.conf) j'ai mis :ldap_start_tls: Connect error (-11)
additional info: TLS: hostname does not match CN in peer certificate
TLSCertificateFile /etc/ldap/cert/servercert.pem
TLSCertificateKeyFile /etc/ldap/cert/serverkey.pem
TLSCACertificateFile /etc/ldap/cert/cacert.pem
Et au niveau du client (ldap.conf) j'ai mis :
J'ai bien sur fait une copie de cacert.pem sur la machine clienteTLS_CACERT /etc/ldap/cert/cacert.pem
ssl start_tls
tls_checkpeer yes
tls_cacertfile /etc/ldap/cert/cacert.pem
J'ai mis comme DN pour le cacert.pem : C=fr, ST=centre, L=orleans, O=cnrs-orleans, OU=lpce, CN=ca
Et pour le DN du serveur sur servercert.pem : C=fr, ST=centre, L=orleans, O=cnrs-orleans, OU=lpce, CN=ldapserver.cnrs-orleans.fr
ldapserver etant le hostname de mon serveur LDAP, et je suis dans le domaine cnrs-orleans.fr
Voila si vous avez une solution à me proposer...
Merci d'avance
1) Vérifier que votre client utilise bien les certificats si le serveur le demande (il y a différents niveaux dans le slapd.conf - voir la directiveTLSVerifyClient). Ainsi, pour que le client les utilise il existe plusieurs méthodes : variables d'environnement ou encore un fichier local caché (informations que l'on trouve dans les pages man).
2) Pour ldapsearch et autres clients, utiliser le nom de votre machine serveur (DNS), que vous avez déclaré pour créer votre certificat serveur.
Julp.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager