[LDAP] Problème de connexion en ldaps via php4

Version imprimable

Bonjour

J'essaye depuis quelques jours de faire dialoguer mon apache-ssl qui héberge une application avec un openldap.

Serveur apache:
OS Debian Etch 4.0
apache-ssl v1.3
php4

Serveur ldap:
OS Debian sarge 3.1
Openldap v1.130.2.13.2.1

L'idée est la suivante:
Mon site est accessible en https. Les utilisateurs s'authentifient par certificat. Cette partie là fonctionne bien.
Parallèlement, le site accède à des données hébergées sur un autre serveur qui a openldap d'installé. L'accès à ce ldap doit se faire avec SSL/TLS via php4.

Le problème ici concerne bien le dialogue entre le code php du site et le serveur ldap.

Des certificats ont été générés et signés par une même autorité de certification pour le serveur LDAP et pour le serveur apache.

Côté ldap, le fichier slapd.conf contient ces informations:
Code:

1 2 3 4 5 6 7 8 #Certificat de l'AC TLSCACertificateFile /etc/ldap/ssl/cert_CA.cert #Certificat du serveur ldap TLSCertificateFile /etc/ldap/ssl/cert_mon_ldap.cert #Clé privée du serveur ldap TLSCertificateKeyFile /etc/ldap/ssl/cert_mon_ldap.key #Demande d'un certificat client valide TLSVerifyClient demand
Côté serveur apache-ssl, mon site a le code suivant (en résumé):
Code:

1 2 3 4 5 6 7 $host="ldaps://monserveur.mondomaine.com"; $ds=ldap_connect($host); ldap_set_option($ds,LDAP_OPT_PROTOCOL_VERSION,3); $r=@ldap_bind($ds,"cn=admin,o=organisation,c=fr","password" ); $sr=ldap_search($ds,"o=organisation,c=fr",("objectClass=organizationalUnit" )); $info=ldap_get_entries($ds,$sr); print $info["count"]." enregistrements trouvés.";
Le fichier /etc/ldap/ldap.conf du serveur apache (considéré comme client) contient les informations suivantes:
Code:

1 2 TLS_REQCERT demand TLS_CACERT /etc/ssl/cert/cert_CA.cert
Enfin le fichier .ldaprc qui est dans le répertoire de root (qui lance apache) contient:
Code:

1 2 TLS_CERT /etc/ssl/cert/cert_mon_apachessl.cert TLS_KEY /etc/ssl/cert/key_mon_apachessl.key
Quand je fais des tests de connexion sur le port 389, c'est-à-dire que la connexion avec le ldap s'effectue en clair, tout fonctionne bien.

Mais si je passe en ldaps dans mon code php sur le port 636, ça ne fonctionne plus.

Côté ldap dans les logs, j'ai alors le message "TLS accept error error=-1".

Et côté apache, j'ai les erreurs:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 ldap_create ldap_url_parse_ext(ldaps://monserveur.mondomaine.com) ldap_bind_s ldap_simple_bind_s ldap_sasl_bind_s ldap_sasl_bind ldap_send_initial_request ldap_new_connection ldap_int_open_connection ldap_connect_to_host: TCP monserveur.mondomaine.com:636 ldap_new_socket: 4 ldap_prepare_socket: 4 ldap_connect_to_host: Trying <MON_IP>:636 ldap_connect_timeout: fd: 4 tm: -1 async: 0 ldap_ndelay_on: 4 ldap_is_sock_ready: 4 ldap_ndelay_off: 4 ldap_int_sasl_open: host=monserveur.mondomaine.com TLS: can't connect. ldap_err2string ldap_err2string
A noter que le cn du certificat du ldap correspond bien à l'url qui me permet de me connecter au ldap à savoir monserveur.mondomaine.com.

Par contre, si je lance la commande suivante depuis mon serveur apache, ça fonctionne bien:

Code:

dapsearch -x -H "ldaps://monserveur.mondomaine.com:636" -D "cn=admin,o=organisation,c=fr" -W

Donc en clair, j'ai l'impression que php ne va pas bien lire dans le fichier /etc/ldap/ldap.conf ni dans le fichier /root/.ldaprc

J'ai fait pas mal de rercherche et voici quelques liens qui pourront en aider certains:
http://www.arnaudcharlier.be/blog/ [...] l-avec-php
http://www.openldap.org/pub/ksoper/OpenLDAP_TLS.html
http://www.openldap.org/lists/open [...] 01023.html

Est ce que quelqu'un sait comment vérifier si php va bien lire dans le fichier /etc/ldap/ldap.conf et .ldaprc?

Avez vous des idées pour faire fonctionner cette connexion entre le site php et le ldap?

La question a été posée plusieurs fois sur le net mais il n'y a pas vraiment de réponse claire qui fonctionne.
Souvent la solution de facilité est de mettre le paramètre TLSVerifyClient à never mais du coup, même si cela fonctionne, il n'y a plus de sécurité car le serveur ldap autorise toujours la connexion (pas de demande de certificat valide) sans être sûr de l'identité du serveur qui vient se connecter.

Merci d'avance :)

04/12/2007, 14h28
xjinh

Avancée du problème:

J'ai installé le package php4-cli qui est un interpréteur de php.
L'avantage est qu'il permet d'exéctuer du code php sans passer par Apache.

J'exécute donc mon script avec la commande:

Code:

#/usr/sbin/php monscript.php

Et là magie...ça fonctionne. Et l'interpréteur lit bien les fichiers ldap.conf et .ldaprc.

C'est donc lorsque je passe par le navigateur et donc par apache qu'il y a un problème.

Je vais regarder du côté des variables d'environnement et après des librairies...

Si jamais certains ont des idées, n'hésitez pas.
04/12/2007, 14h33
|PaRa-BoL

PHP command lines et php en mod apache n'ont pas le même fichier de configuration ni les même lib chargées. Regarde de ce coté là.

Ps : Tu lances php-cli en root ?
04/12/2007, 15h43
xjinh

Merci pour cette info, cela me servira sûrement plus tard :D

Du coup en farfouillant du côté des variables d'environnement, j'ai trouvé le problème.
Il y a une variable d'environnement non positionnée :aie:

En fait, le fichier qui indique l'emplacement du certificat de l'utilisateur (.ldaprc) doit se trouver dans le home directory du user apache. Mais surtout il faut que apache charge la variable d'environnement $HOME afin que php puisse aller rechercher ce fichier .ldaprc.

Dans mon cas, le script de démarrage apache positionnait seulement les variables LANG et PATH.
Lorsque je lançais mon script, php n'arrivait pas à trouver de fichier .ldaprc.
Lorsqu'il se connectait au ldap, il ne présentait pas de certificat et la connexion était interrompue.

J'ai donc modifié la ligne suivante dans /etc/init.d/apache:

Code:

ENV="env -i LANG=C PATH=/bin:/usr/bin/usr/local/bin HOME=/<home_dir_apache>"

Et du coup ça fonctionne bien.

Note: pour que le chargement de la nouvelle variable soit pris en compte, il faut faire un stop/start de apache et non un restart.
26/08/2008, 15h09
Invité
Bonjour,
Je me permet de remonter ce topic car j'ai le même problème que je n'arrive pas à résoudre malgré toutes l'aides que m'a apporté ces recherches.

Je suis dans le même cas que toi, j'essaie de me connecter en ldaps sur un serveru LDAP. Malheureusement, je ne suis pas administrateur du serveur LDAP et n'est donc accès ni au log, ni au fichiers de configuration. Par contre, la configuration à l'air bonne puisqu'il existe un webmail utilisant ldaps.

Au niveau de mon fichier de configuration /etc/ldap/ldap.conf :
Code:

1 2 TLS_REQCERT demand TLS_CACERT /etc/ssl/certs/CAcert.crt
Le .ldaprc de mon utilisateur Apache est :
Code:

1 2 TLS_CERT /etc/ssl/certs/mailcert.pem TLS_KEY /etc/ssl/private/mailkey.key
Lorsque j'utilise la commande ldapsearch, tous fonctionne très bien même sur mon utilisateur Apache.
Tous se passe comme si php ne cherchait pas dans les fichiers ldap.conf et .ldaprc.
Et pourtant, avec un strace php /monLdap.php, j'ai les lignes suivantes :
Code:

1 2 3 open("/etc/ldap/ldap.conf", O_RDONLY|O_LARGEFILE) = 3 open("/var/www/.ldaprc", O_RDONLY|O_LARGEFILE) = 3 read(3, "TLS_CERT /etc/ssl/certs/mailcert"..., 4096) = 74
Je n'arrive pas à comprendre d'ou cela peut venir...

Merci d'avance pour le temps et l'aide que vous m'accorderez.
26/08/2008, 15h10
Invité

Peut être que je ferais mieux de créer un nouveau topic ?