Bijour bijour,
 
J'ai installé un openLDAP sur une machine (et ce ne fût pas une mince affaire : http://ubuntuforums.org/showthread.php?t=1313472) et je souhaite qu'une autre machine sur le net y accède aussi.
J'ai choisi startTLS comme méthode pour le chiffrement, parce que j'ai lu sur le net que c'était mieux que SSL (et ça me permettait d'utiliser le même port).
Donc mon idée : seule une liste de machines définie à l'avance peut taper le LDAP et toutes les communications doivent être chiffrées.
Je suis donc devenu CA, j'ai créé le certificat serveur, j'arrive depuis le client à me connecter en mode chiffré (-ZZ).
Maintenant, j'ai 2 problèmes que je n'arrive pas à résoudre :  
- refuser les requêtes des clients inconnus (j'aime pas trop l'idée d'avoir la liste des employés sur le net)
- refuser les requêtes non chiffrées.
 
Je ne trouve pas mon bonheur dans les docs, mais c'est probablement dû à un manque de compétences, certains concepts me sont un peu étrangers, d'où mon SOS.
 
Merci,
 
Nico.
 
PS : je suis dans une petite boite, mais pour une raison qui m'échappe, il n'existe pas de cat système SOHO. J'espère ne pas avoir violé les saintes règles dans les 2 patés des topics sticky.

- qu'est ce qui différencie un client connu d'un client inconnu ?
- pourquoi ne pas utiliser ssl si tu veux refuser les requêtes non chiffrées ?

1) le client connu est dans une "liste" de clients connus  
2) pour ne pas ouvrir un 2ème port, et parce que j'ai lu quelque part que c'était pas trop conseillé avec LDAP que startTLS c'était la bonne façon de faire.

si la liste de clients est une liste d'ip, alors tu peux faire des restrictions par adresse IP via iptables.
 
pour le point 2, effectivement.  
tu peux sans doute poser la question sur la mailing list openldap ou consulter les archives.