LDAP Sécurisé et Active Directory
Je souhaite établir une connexion LDAPS entre un serveur Apache 2.2.17 et un contrôleur AD pour gérer l'authentification d'utilisateurs devant accéder à un répertoire particulier d'un site intranet.
Le serveur Apache : version 2.2.17 sous WINDOWS 2003 (ne me demandez pas pourquoi)
La configuration LDAP (port 389) fonctionne très bien.
La configuration LDAPS (port 636) ne fonctionne pas du tout : le serveur Apache termine sans raison la communication avec le contrôleur AD (pas de pb de firewall, car un browser tel que Apache Directory Studio arrive trés bien à établir la connexion en LDAPS).
Le certificat fournit par le contrôleur a bien été installé sur WINDOWS 2003 ...
Le fichier de configuration est tel que :
Code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27
|
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
LDAPTrustedGlobalCert CA_BASE64 conf/cert/my-certif.crt
LDAPVerifyServerCert off
<Location /ldap-status>
SetHandler ldap-status
Order deny,allow
Deny from all
Allow from mypc.mydomain
AuthType Basic
AuthName "Test LDAPS Active Directory"
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPBindDN yraph001@test.myad
AuthLDAPBindPassword kjhflkjhflkjshfls
AuthLDAPURL "ldaps://ctrlad.test.myad/dc=test,dc=myad?sAMAccountName?sub?(objectClass=*)"
Require valid-user
</Location> |
Avez-vous déjà été confrontés à un tel problème ?
Savez-vous comment peut-on obtenir des traces plus verbeuses pour comprendre ce qu'il se passe réellement, car le mode "debug" d'Apache ne montre rien d'intéressant.
D'avance, merci.
LDAP Sécurisé et Active Directory (complément)
J'ajouterais que la trace Apache fait apparaître le message ci-dessous :
Citation:
[Thu Mar 31 10:21:24 2011] [info] APR LDAP: Built with Microsoft Corporation. LDAP SDK
[Thu Mar 31 10:21:24 2011] [info] LDAP: SSL support unavailable: LDAP: CA certificates cannot be set using this method, as they are stored in the registry instead.
Pourtant, le certificat a bien été chargé dans le "Certificat Store" du serveur WINDOWS, mais rien à faire (comment "mod_ldap" parcourt-il les certificats à sa disposition ?).