Bonjour
 
J'essaye depuis quelques jours de faire dialoguer mon apache-ssl qui héberge une application avec un openldap.
Nous avons finalement réussi à résoudre le problème.
Voilà quelques infos pour ceux qui veulent mettre en place un système d'authentification forte entre un site web et un annuaire openldap.
 
--------Config--------
Serveur apache:
  OS Debian Etch 4.0  
  apache-ssl v1.3
  php4
 
Serveur ldap:
  OS Debian sarge 3.1
  Openldap v1.130.2.13.2.1
       
----------------------
L'idée est la suivante:
Mon site est accessible en https. Les utilisateurs s'authentifient par certificat. Cette partie là fonctionne bien.
Parallèlement, le site accède à des données hébergées sur un autre serveur qui a openldap d'installé. L'accès à ce ldap doit se faire avec SSL/TLS.
 
Le problème ici concerne bien le dialogue entre le code php du site et le serveur ldap.
 
Des certificats ont été générés et signés par une même autorité de certification pour le serveur LDAP et pour le serveur apache.
 
Côté ldap, le fichier slapd.conf contient ces informations:

 
 
Côté serveur apache-ssl, mon site a le code suivant (volontairement simplifié pour seulement tester la connexion):
 

 
 
Le fichier /etc/ldap/ldap.conf du serveur apache (considéré comme client) contient les informations suivantes:

 
Enfin, le fichier .ldaprc doit être créé (s'il n'existe pas) dans le hoe directory du user apache et il doit contenir:

 
 
Quand je fais des tests de connexion sur le port 389, c'est-à-dire que la connexion avec le ldap s'effectue en clair, tout fonctionne bien. Mais si je passe en ldaps sur le port 636, ça ne fonctionne plus.
 
Côté ldap dans les logs, j'ai alors le message "TLS accept error error=-1".
 
A noter que le cn du certificat du ldap correspond bien à l'url qui me permet de me connecter au ldap à savoir monserveur.mondomaine.com.
 
En fait je ne sais pas si php va bien lire dans le fichier /etc/ldap/ldap.conf.
 
J'ai fait pas mal de rercherche et voici quelques liens qui pourront en aider certains:
http://www.arnaudcharlier.be/blog/ [...] l-avec-php
http://www.openldap.org/pub/ksoper/OpenLDAP_TLS.html
http://www.openldap.org/lists/open [...] 01023.html
 
Voici mes questions:
 
1) comment savoir si php va bien lire dans le fichier /etc/ldap/ldap.conf ?
 
2) avez vous des idées pour faire fonctionner cette connexion entre le site php et le ldap?
 
La question a été posée plusieurs fois sur le net mais il n'y a pas vraiment de réponse claire qui fonctionne.
Souvent la solution de facilité est de mettre le paramètre TLSVerifyClient à never mais du coup, même si cela fonctionne, il n'y a plus de sécurité car le serveur ldap autorise toujours la connexion (pas de demande de certificat valide) sans être sûr de l'identité du serveur qui vient se connecter.
 
 
Merci d'avance
 
 
------------------Solutions-------------------
 
Il y avait en fait 2 problèmes:
 
1) Le certificat généré pour le serveur apache ne contenait pas l'extension "Web client authentication" mais seulement "Web server Authentication".
J'ai généré un nouveau certificat avec les 2 extensions.
 
2) Il manquait le positionnement de la variable d'environnement $HOME au chargement d'apache.
L'initialisation de cette variable permet à php d'aller chercher le fichier .ldaprc, de récupérer le certificat indiqué dans le fichier et de le présenter au ldap.
La solution que j'ai trouvé pour initialiser cette variable (mais il y en a sûrement d'autres), c'est de modifier la ligne suivante dans le script de démarrage apache:
 

 
Note: - pour que le chargement de la nouvelle variable soit pris en compte, il faut faire un stop/start de apache et non un restart.
        - il est important côté client et serveur de choisir la demande d'un certificat valide (TLSVerifyClient demand) sans quoi l'authentification n'a plus lieu d'être. On trouve beaucoup de commentaire sur le web de personnes qui résolvent le problème en mettant ce paramètre à "never". Dans ce cas, le serveur ne vérifie pas le certificat client et autorise toujours la connexion ce qui dans le cas présent est totalement contraire à ce que l'on veut faire.
 

Mise à jour du poste avec plus d'informations.
 

1) essaye de lancer ton script en ligne de commande, avec strace.
Tu verras si il lit (ou essaye de lire) ton fichier de conf ou pas.

Quel script lancer?  
strace attend des exécutable.
J'ai essayé un strace avec /etc/init.d/apache-ssl mais ça donne pas grand chose.

strace php ton_script.php

OK, je vais essayer ça demain.
Je te tiens au courant.

Si j'exécute /usr/bin/strace php monscript.php, j'ai droit à "Command not found"!
 
Par contre j'ai trouvé un gars qui présentait sa méthode pour activer le SSL entre ldap/apache mais j'arrive pas bien à comprendre ce passage. Si quelqu'un a une idée...
 

 
Source ICI

Quelques nouvelles de l'avancée du problème:
 
Pour vérifier le bon paramétrage du fichier /etc/ldap/ldap.conf et .ldaprc, j'ai utilisé l'utilitaire ldapsearch.
 
J'ai donc lancé la commande:
 

 
L'erreur rencontrée a été "sslv3 alert unsupported certificate".
En fait il faut bien à la création du certificat, choisir les extensions "Web server authentication" et surtout "Web client authentication".
J'ai regénéré un certificat en ajoutant l'option "Web client authentication" et là ça a bien fonctionné.
 
Maintenant, pour être sûr que l'utilitaire ldapsearch utilisait bien le fichier ldap.conf et .ldap.rc, j'ai modifié le chemin vers le certificat client dans le fichier .ldaprc.
L'authentification n'a pas fonctionné et sur le serveur ldap  j'avais le même message d'erreur que lors de la connexion avec le script php (TLS accept error).
 
Par conséquent, le paramétrage sur mon client semble bon.
Je pense que php ne lit pas le fichier ldap.conf.
 
La question est "pourquoi?".
 
Si quelqu'un a une idée
 
Je n'arrive pas à lancer strace avec un script php...

Ben faut installer strace

Il déclare les variables avant que le process apache soit lancé, donc celui-ci les connait, et php les hérite, donc il n'a plus le problème
de savoit si php charge bien le fichier /etc/ldap/ldap.conf
 
Enfin c'est ce que je pense qu'il cherche à faire, je ne peux dire si cela fonctionne ou pas.

 
C'est installé bien sûr    
Mais quand je le lance, ça me met cette erreur.
 
Par contre si je lance avec /etc/init.d/apache-ssl ça fonctionne bien.
Mais je n'ai pas de trace de ldap.conf.

Mets le path complet pour php peut-être ?

J'ai essayé. Il le prend bien mais il met qu'il n'a pas les droits d'exécution.
En fait strace attend un exécutable

/usr/bin/php4

Avancée du problème:
 
J'ai installé le package php4-cli qui est un interpréteur de php.
L'avantage est qu'il permet d'exéctuer du code php sans passer par Apache.
 
J'exécute donc mon script avec la commande:

 
Et là magie...ça fonctionne. Et l'interpréteur lit bien les fichiers ldap.conf et .ldaprc.
 
C'est donc lorsque je passe par le navigateur et donc par apache qu'il y a un problème.
 
Je vais regarder du côté des variables d'environnement et après des librairies...
 
Si jamais certains ont des idées, n'hésitez pas.

Trouvé! C'est dû à une variable d'environnement non positionnée    
 
En fait, le fichier qui indique l'emplacement du certificat de l'utilisateur doit se trouver dans le home directory du user apache. Mais surtout il faut que apache charge la variable d'environnement $HOME afin que php puisse aller rechercher ce fichier .ldaprc.
 
Dans mon cas, le script de démarrage apache positionnait seulement les variables LANG et PATH.
Lorsque je lançais mon script, php n'arrivait pas à trouver de fichier .ldaprc.
Lorsqu'il se connectait au ldap, il ne présentait pas de certificat et la connexion était interrompue.
 
J'ai donc modifié la ligne suivante dans /etc/init.d/apache:
 

 
Et du coup ça fonctionne bien.
 
Je vais mettre à jour mes paramétrages dans le 1er post afin d'aider les gens qui comme moi galèrent à mettre ce type d'authentifcation en place.
 
A+
 
Note: pour que le chargement de la nouvelle variable soit pris en compte, il faut faire un stop/start de apache et non un restart.