Re! Merci pour ton aide, j'ai réussi à faire fonctionner le TLS, avec une ssf de 128. mais là, j'arrive plus à y accéder avec mon ldap browser, ni d'ailleurs avec mon JXplorer. Avec GQ, j'arrive à y accéder seulement depuis le serveur ldap lui-même, et quand j'essaie à partir des clients de ce serveur (clients qui se connectent sans problème au serveur), j'obtiens l'erreur suivante: "Couldn't enable TLS on the LDAP connection to 'mon-serveur': Connect error. Additionnal error: Error in certificate."
Vu que le client arrive à se connecter sans problème au serveur pour s'authentifier etc, je doute fort qu'il y ait une erreur dans le certificat. aurais-tu une idée de ce qui ne marche pas? quel ldap browser utilises-tu avec ta connexion en ssf de 128? merci encore une fois! Jay Ar --- Pierre Chifflier <[EMAIL PROTECTED]> a écrit : > Jay Ar wrote: > > Merci pour ta réponse! > > > > en fait, j'avais déjà SSL en place (ldaps) mais > j'ai > > entendu dire que c'est deprecated. > > Bref, pour SSF, ça semble pas marcher terrible.. > je > > crée les certificats côté serveur, mais les > clients ne > > peuvent pas se logger, bien qu'ayant la CA > signante. > > dans auth.log du serveur, je remarque que le user > a > > été "denied" d'accés.. > > > > Avec un log ce serait plus facile .. > SSL n'est pas moins bien que TLS, il fonctionne > juste differement (en > TLS la connection commence en clair et se crypte sur > demande du client > ou du serveur, en SSL la connection commence > cryptée). > Pour SSF, il faut faire des test plus poussés, par > exemple tester avec > la ligne de commande ldap: > ldapclient -ZZ -x -h serveur -b 'dc=domaine,dc=com' > > Le -ZZ demande de passer en mode TLS, ce qui permet > de vérifier que le > client accepte le certificat du serveur. > Par défaut, ce n'est pas le cas, il faut ajouter une > ligne du genre > TLS_CACERT /etc/ssl/certs/ca.pem > dans /etc/ldap/ldap.conf. > > Pour le 'denied', il faut regarder les logs du > serveur. Il se peut qu'un > SSF de 128 soit un peu élevé, surtout si l'algo de > cryptage choisi n'est > pas assez fort. Essaye avec une valeur de 64 pour > voir si ça change > quelque chose. > > A+, > > Pierre > > > -- > Pensez à lire la FAQ de la liste avant de poser une > question : > http://wiki.debian.net/?DebianFrench > > Pensez à rajouter le mot ``spam'' dans vos champs > "From" et "Reply-To:" > > To UNSUBSCRIBE, email to > [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > ___________________________________________________________________________ Appel audio GRATUIT partout dans le monde avec le nouveau Yahoo! Messenger Téléchargez cette version sur http://fr.messenger.yahoo.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
