Ldap + TSL SSL ne fonctionne pas [OPen susE 10.2]

Ldap + TSL SSL ne fonctionne pas [OPen susE 10.2] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 02-07-2008 à 13:16:47    

bonjour a tous
 
Je suis en train de monter un systeme Samba couple avec Ldap pour un active directory sous Suse 10.2.
 
Pour commencer, j'ai installer un samba qui tourne. J'ai mis dans la balise [global] :  

Code :
  1. [global]
  2. ...
  3. netbios name = Flavios_Netbios
  4. ...


Je peux ping cette machine serveur en tapant ping Flavios_Netbios a partir d'une machine cliente distante. Chose etonnante, le meme ping avec la propre machine serveur me donne un :
linux-ulou: /etc/ssl/openldap # ping Flavios_Netbios
ping: unknown host Flavios_Netbios
(ma machine a pour nom host linux-ulou. Je ne peux la ping qu'avec l'@ IP (probleme de gestion des noms peut etre...) mais lorsque le serveur samba est lance, on peut ping cette machine serveur avec Flavios_Netbios ou l'@ IP bien sur).
Maintenant, mon serveur ldap. Dans un premier temps, je ne souhaite pas le coupler, je veux juste le faire fonctionner... ce que j'ai reussi a faire sans l'utilisation de securite ssl.
 
J'ai une arborecence comme ca :
dc=gov
  |-  c=fr
  |-  c=uk
      |- o=...
    ......
 
Voici mon fichier slapd.conf

Code :
  1. include  /etc/openldap/schema/core.schema
  2. include  /etc/openldap/schema/cosine.schema
  3. include  /etc/openldap/schema/inetorgperson.schema
  4. include  /etc/openldap/schema/rfc2307bis.schema
  5. include  /etc/openldap/schema/yast.schema
  7. # Define global ACLs to disable default read access.
  9. # Do not enable referrals until AFTER you have a working directory
  10. # service AND an understanding of referrals.
  11. #referral ldap://root.openldap.org
  13. pidfile  /var/run/slapd/slapd.pid
  14. argsfile /var/run/slapd/slapd.args
  16. # Load dynamic backend modules:
  17. modulepath /usr/lib/openldap/modules
  18. # moduleload back_ldap.la
  19. # moduleload back_meta.la
  20. # moduleload back_monitor.la
  21. # moduleload back_perl.la
  23. # Sample security restrictions
  24. # Require integrity protection (prevent hijacking)
  25. # Require 112-bit (3DES or better) encryption for updates
  26. # Require 63-bit encryption for simple bind
  27. # security ssf=1 update_ssf=112 simple_bind=64
  29. # Sample access control policy:
  30. #       Root DSE: allow anyone to read it
  31. #       Subschema (sub)entry DSE: allow anyone to read it
  32. #       Other DSEs:
  33. #               Allow self write access to user password
  34. #               Allow anonymous users to authenticate
  35. #               Allow read access to everything else
  36. #       Directives needed to implement policy:
  37. access to dn.base=""
  38.         by * read
  40. access to dn.base="cn=Subschema"
  41.         by * read
  43. access to attrs=userPassword,userPKCS12
  44.         by dn="cn=admin,dc=gov" write
  45.         by * auth
  47. access to attrs=shadowLastChange
  48.         by dn="cn=admin,dc=gov" write
  49.         by * read
  51. access to *
  52.         by * read
  54. # if no access controls are present, the default policy
  55. # allows anyone and everyone to read anything but restricts
  56. # updates to rootdn.  (e.g., "access to * by * read" )
  57. #
  58. # rootdn can always read and write EVERYTHING!
  60. #######################################################################
  61. # BDB database definitions
  62. #######################################################################
  64. database bdb
  65. #repertoire racine > le noeud supperieur de votre repertoire LDAP
  66. suffix dc=gov
  67. checkpoint      1024    5
  68. cachesize 10000
  69. rootdn cn=admin,dc=gov
  70. #admin est le nom distinct du gestionnaire de repertoire
  71. # Cleartext passwords, especially for the rootdn, should
  72. # be avoid.  See slappasswd(8) and slapd.conf(5) for details.
  73. # Use of strong authentication encouraged.
  74. rootpw  admin
  75. # The database directory MUST exist prior to running slapd AND
  76. # should only be accessible by the slapd and slap tools.
  77. # Mode 700 recommended.
  78. directory /var/lib/ldap
  79. # Indices to maintain
  80. index objectClass eq
  81. TLSCertificateFile /etc/ssl/openldap/ldap_cert.pem
  82. TLSCertificateKeyFile /etc/ssl/openldap/ldap_key.pem


Cette configuration me permettais (avant l'installation des certifs) d'acceder a mon serveur ldap a partir d'un client distant (bien sur, il n'y avait pas les lignes TLSCertificateFile /etc/ssl/openldap/ldap_cert.pem et TLSCertificateKeyFile /etc/ssl/openldap/ldap_key.pem dans le fichier ci dessus).
 
Pour mettre en place le ssl, voici le tuto que j'ai applique : http://arnofear.free.fr/linux/temp [...] o=2&page=5
 
Le moment crucial est lorsqu'il faut entrer le nom FQDN. Pour ma part, j'ai mis Flavios_Netbios.gov. Est ce bien cela qu'il faut mettre dans mon certif ?
 
En accord avec le tuto, j'ai donc mis les liens dans le fichier slapd.conf vers ces deux certifs (voir le code si dessus ligne 81 et 82).
Toujours en accord avec le tuto, voici une partie de mon fichier /etc/ldap.conf :

Code :
  1. # OpenLDAP SSL mechanism
  2. # start_tls mechanism uses the normal LDAP port, LDAPS typically 636
  3. ssl start_tls
  4. ldap_version 3
  5. pam_filter objectclass=posixAccount
  6. nss_base_passwd cn=admin,dc=gov
  7. nss_base_shadow cn=admin,dc=gov
  8. nss_base_group cn=admin,dc=gov
  9. tls_checkpeer no
  10. ssl on


Enfin et toujours en suivant les instructions, voici mon fichier /etc/openldap/ldap.conf

Code :
  1. BASE dc=gov
  2. URI ldaps://Flavios_Netbios.gov
  3. #SIZELIMIT 12
  4. #TIMELIMIT 15
  5. #DEREF  never
  6. TLS_REQCERT  allow
  7. #TLS_CACERT  Il n'y en a pas !? Ou est il ???
  8. TLS_CACERTDIR /etc/ssl/openldap


Precision, dans le tuto, il est question a un moment de "Copiez le (ou les) certificat(s) sur vos clients dans /etc/ssl/openldap/". Qu'est ce que cela signifie ? Mes clients sont des machines Windows Xp...
 
Enfin la fin du fin, je tape la commande ldapsearch -x -H ldaps://Flavios_Netbios.gov -D "cn=admin,dc=gov" -w admin -b "dc=gov" et bien sur, j'ai l'erreur ldap_bind: Can't contact LDAP server (-1)
 
Je relance le serveur ldap, pensant que les modifications n'avaient pas ete prises en compte et voici ce que ca me met:

Shutting down ldap-server                                                                                      done
Starting ldap-serverstartproc:  exit status of parent of /usr/lib/openldap/slapd: 1         failed
Checking for service ldap:                                                                                     unused

 :cry:  
Mon serveur ne redemarrant pas, je me pose donc cette question : voyez vous une mauvaise manipulation de ma part pour que ce fichu serveur ne se lance pas !?
 
Pour vous aidez, voici le resultat d'un tail /var/log/messages :

Jul  2 11:53:09 linux-ulou slapd[5076]: conn=5 fd=12 ACCEPT from IP=192.168.254.80:1025 (IP=0.0.0.0:389)
Jul  2 11:53:09 linux-ulou slapd[5076]: conn=5 op=0 BIND dn="" method=128
Jul  2 11:53:09 linux-ulou slapd[5076]: conn=5 op=0 RESULT tag=97 err=2 text=historical protocol version requested, use LDAPv3 instead
Jul  2 11:53:09 linux-ulou slapd[5076]: conn=5 op=1 UNBIND
Jul  2 11:53:09 linux-ulou slapd[5076]: conn=5 fd=12 closed

Merci d'avoir lu ce post jusqu'au bout. Si quelqu'un connait la solution... ou un debut d'explication... toute remarque est la bienvenue!!
Flavio_dev


Message édité par flavio_dev le 02-07-2008 à 13:46:33
Reply

Marsh Posté le 02-07-2008 à 13:16:47   

Reply

Marsh Posté le 03-07-2008 à 11:55:00    

Quelqu'un a une idee ?

Message cité 1 fois
Reply

Marsh Posté le 03-06-2010 à 17:03:28    

flavio_dev a écrit :

Quelqu'un a une idee ?


Bonjour,
Depuis ça fonctionne? J'ai le me soucis que toi....

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed