Discussion :

[chadow]

Bonjour,

Je met en place un serveur ldap (OpenDS) et mes clients sont sous solaris10.
Le LDAP fonctionne via le port LDAP mais lorsque je tente le profile avec le port LDAPs il m'est impossible d'initialiser le profile client:
#ldapclient -vvv init -a profileName=tls_simple -a domainName="exemple.org" -a proxyDN="cn=proxyuser,ou=LDAPauth,dc=exemple,dc=org" -a proxyPassword=password hostname:1636

LDAP ERROR (81): Error occurred during receiving results. Connection to server lost.

Pourtant :
ldapsearch -v -h hostname -b "dc=exemple,dc=org" -p 1636 -Z -P /path/ldap/directory -s base "(objectclass=*)"
J'ai une reponse

[jlliagre]

Il faut utiliser le port standard ldaps (636).

[chadow]

Mon serveur est configurer pour recevoir le 1636. On doit obligatoirement prendre le 636?

[jlliagre]

Oui, et il faut aussi un serveur ldap en clair sur le port 389. Ce dernier n'a pas besoin de contenir de données.

[chadow]

J'ai mis LDAPS en 636 et LDAP en clair 389.
J'ai envie que tout soit cryptée donc je dois être en LDAPS?
si j'utilise le 389 c'est plutôt du start-TLS?

Mon but est de pouvoir récupérer un getent group ou getent passwd tout en étant crypte d'ou le choix du LDAPS, non?

tite question: le certificat (cert8.db et key7.db ) doivent être que dans le dossier /var/ldap ou y a t-il d'autre endroit?

(Sur une debian j'ai réussie mais la sur solaris10 ça change pas mal...)

[jlliagre]

Je répète: il faut un serveur à l'écoute sur le port 389 qui utilise le protocole LDAP en clair, mais ce serveur n'a pas besoin de contenir des données.
Le certificat doit bien être dans /var/ldap et pas ailleurs.

http://blogs.sun.com/vl/entry/native...ap_client_over

[chadow]

Merci jilagre j'ai compris le fonctionnement!

Dans un premier temps j'ai initialiser le client avec les paramètres de mon LDAP.
Puis je l'ai 'désinitialiser" (ldap uninit) donc a ce moment la il remet la config d'avant (contenu dans le dossier restore) mais en gardant les deux fichiers nss_ldap_file et nss_ldap_cred.
Enfin je l'ai initialiser avec les parametres LDAPS et la ça a fonctionner , apres j'ai tester d'eteindre le port ldap mon ldaps fonctionne toujours^^.

J'en conclus qu'on doit dans un premier temps l'initialiser en LDAP puis désinitialiser puis initialiser en LDAPS puis il y a possibilité d'éteindre le port LDAP.

[jlliagre]

Non, il faut que le service ldap en clair soit maintenu en ligne sinon to client va se bloquer au prochain reboot, voire plus tôt.