ldap + tls

ldap + tls - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 01-07-2008 à 14:09:10    

bonjour a tous :)
 
alors voila j'ai mis en place un serveur ldap pour authentification pour des connexions ssh
selon son compte on a droit a ce connecter sur tel ou tel serveur.
Ca marchait bien jusqu'a ce que j'essaye de tout faire fonctionner en tls donc toujours sur le port 389 d'apres ce que j'ai pu voir a droit a gauche.
 
quand je lance mon serveur ldap (log ldap):
 

Code :
  1. May 26 16:51:00 srvtest3 slapd[11794]: @(#) $OpenLDAP: slapd 2.3.27 (Jun 27 2007 08:48:26) $    brewbuilder@ls20-bc1-13.build.redhat.com:/builddir/bui
  2. ld/BUILD/openldap-2.3.27/openldap-2.3.27/build-servers/servers/slapd
  3. May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server
  4. May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: could not search LDAP server - Server is unavailable
  5. May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server
  6. May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: could not search LDAP server - Server is unavailable
  7. May 26 16:51:00 srvtest3 slapd[11794]: /etc/openldap/slapd.conf: line 34: rootdn is always granted unlimited privileges.
  8. May 26 16:51:00 srvtest3 slapd[11794]: /etc/openldap/slapd.conf: line 40: rootdn is always granted unlimited privileges.
  9. May 26 16:51:01 srvtest3 slapd[11795]: bdb_db_open: dc=mh,dc=org
  10. May 26 16:51:01 srvtest3 slapd[11795]: slapd starting


 
/etc/openldap/ldap.conf :
 

Code :
  1. host 127.0.0.1
  2. port 389
  3. base dc=mh,dc=org
  4. uri ldap://srvtest3.test.org
  5. ldap_version 3
  6. TLS_REQCERT     allow


 
/etc/ldap.conf
 

Code :
  1. # TLS
  3. ssl start_tls
  4. ssl on
  6. # Afin que le client puisse valider l'identitéu serveur, on doit le fournir la cléublique
  7. # du CA avec laquelle il pourra éblir que le certificat du serveur a bien é signéar
  8. # la clérivéde cette mê CA.
  9. TLS_CACERT /usr/local/ssl/certs/ldap.crt
  10. # On demande élement au client de toujours valider l'identitéu serveur.
  11. TLS_REQCERT demand
  13. # IP du serveur ldap
  15. host srvtest3.test.org
  17. # Le DN de base pour effectuer les recherche
  19. base dc=mh,dc=org
  21. # Optimisation de recherche dans la base
  23. scope=one
  25. # Pour que le poste demarre meme si le server ldap ne repond pas
  27. bind_policy soft
  29. # Version du protocole utilise
  31. ldap_version 3
  33. # Port ecoute serveur
  35. port 389
  37. # Filtres de validation dun utilisateur
  39. pam_filter objectclass=account
  41. pam_filter host=srvtest3.test.org
  43. # Attribut compare avec lindentifiant de connexion de lutilisateur
  45. pam_login_attribute uid
  47. # Verification attribut host
  49. pam_check_host_attr yes
  51. # DN groupe auquel il faut appartenir pour acces machine locale
  53. pam_groupdn ou=group,dc=mh,dc=org
  55. # Definit lattribut dappartenance au groupe
  57. pam_member_attribute member
  59. # password envoi serveur
  61. pam_password crypt
  63. # Parametres nss-ldap de recherche
  65. nss_base_passwd         ou=user,dc=mh,dc=org?sub
  66. nss_base_shadow         ou=user,dc=mh,dc=org?sub
  67. nss_base_group          ou=group,dc=mh,dc=org?sub
  68. nss_base_hosts          ou=machines,dc=mh,dc=org?sub


 
quand j'essaye de me connecter en ssh avec un user ldap qui a bien les droit dans l'annuaire il reste bloqué ici :
 

Code :
  1. ssh videl@192.168.2.217
  2. videl@192.168.2.217's password:


 
et les log du serveur 192.168.2.217 :
 

Code :
  1. May 26 16:53:40 srvtest3 sshd[11808]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server
  2. May 26 16:53:40 srvtest3 sshd[11808]: nss_ldap: could not search LDAP server - Server is unavailable
  3. May 26 16:53:40 srvtest3 sshd[11808]: Invalid user videl from 192.168.1.111
  4. May 26 16:53:40 srvtest3 sshd[11809]: input_userauth_request: invalid user videl
  5. May 26 16:53:46 srvtest3 sshd[11808]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server
  6. May 26 16:53:46 srvtest3 sshd[11808]: nss_ldap: could not search LDAP server - Server is unavailable
  7. May 26 16:53:46 srvtest3 sshd[11808]: pam_unix(sshd:auth): check pass; user unknown
  8. May 26 16:53:46 srvtest3 sshd[11808]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.111


 
si qqu a deja fait ce genre de chose je veux bien un ptit coup de main :)
 
merci d'avance

Reply

Marsh Posté le 01-07-2008 à 14:09:10   

Reply

Marsh Posté le 13-05-2009 à 11:47:47    

Je relance, est-ce que tu as réglé ton problème ? Si oui comment ? J'ai également le message "could not search ldap server..."
 
++

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed