Bonjour,
J'ai déjà ensuite à plusieurs reprise des serveurs OpenLDAP avec TLS.
En effet je me suis heurté à quelques difficultés pour la création des
certificats.
Tout d'abord tu peux vérifié avec quoi OpenLDAP à été compilé, pour cela :
# ldd /usr/sbin/slapd
et vérifier la présence de la ligne suivant :
libgnutls.so.26 => /usr/lib/libgnutls.so.26
Si t'elle est le cas, tu dois bien utilisé gnutls.
Pour l'autorité de certification :
1 - Commencé par créer la clé privée pour le certificat auto-signé :
# certtool --generate-privkey > /etc/ssl/private/cakey.pem
2 - Créer un fichier de paramétrage :
# vim /etc/ssl/ca.info
Avec les données suivantes à adapter bien sur :
cn = Ma boite
ca
cert_signing_key
3 - Ensuite il faut créer le certificat auto-signé comme suivant :
certtool --generate-self-signed --load-privkey
/etc/ssl/private/cakey.pem --template /etc/ssl/ca.info --outfile
/etc/ssl/certs/cacert.pem
Tu obtiens le certificat auto-signé de l'autorité de certificat !
Il faut ensuite créer les certificats pour chaque serveur (provider et
consumer) comme cela :
1 - Génération de la clé privée pour le serveur :
# certtool --generate-privkey >
/etc/ssl/private/debian-LDAP1_slapd_key.pem
2 - Création du fichier d'information avec les paramètres suivants :
# vim /etc/ssl/debian-LDAP1.info
organization = Example Company
cn = debian-LDAP1.ma-boite.fr
tls_www_server
encryption_key
signing_key
3 - Générer le certificat du serveur :
# certtool --generate-certificate --load-privkey
/etc/ssl/private/debian-LDAP1_slapd_key.pem --load-ca-certificate
/etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem
--template /etc/ssl/debian-LDAP1.info --outfile
/etc/ssl/certs/debian-LDAP1_slapd_cert.pem
Il faut faire bien vérifier que OpenLDAP à les droits sur les certificats,
sinon le démon ne démarrera pas:
Exemple de droits :
# chgrp openldap /etc/ssl/certs/cacert.pem
# chmod 750 /etc/ssl/certs/cacert.pem
# chgrp openldap /etc/ssl/certs/debian-LDAP1_slapd_cert.pem
# chmod 750 /etc/ssl/certs/debian-LDAP1_slapd_cert.pem
# chgrp openldap /etc/ssl/private/debian-LDAP1_slapd_key.pem
# chmod 750 /etc/ssl/private/debian-LDAP1_slapd_key.pem
Pour finir dans ta config LDAP, il te faut renseigner les paramètres
suivants:
# TLS/SSL
TLSCiphersuite SECURE256:!AES-128-CBC
TLSCACertificateFile /etc/ssl/certs/cacert.pem
TLSCertificateFile /etc/ssl/certs/debian-LDAP1_slapd_cert.pem
TLSCertificateKeyFile /etc/ssl/private/debian-LDAP1_slapd_key.pem
Si tous est bien en place, tu devras voir dans les logs des lignes comme
celle-ci :
Jul 26 11:10:50 ldap01-v slapd[8339]: conn=13866 op=0 STARTTLS
Jul 26 11:10:50 ldap01-v slapd[8339]: conn=13866 op=0 RESULT oid=
err=0 text=
Jul 26 11:10:50 ldap01-v slapd[8339]: conn=13866 fd=37 TLS established
tls_ssf=256 ssf=256
Steven
Le 25 juillet 2013 13:22, YOUNOUSS Abba Soungui <[email protected]> a écrit :
> **
>
> Bonjour,
>
>
>
> J'essaye de mettre en place un serveur LDAP sous Wheezy, l'installation se
> passe problème, mais quand j'essaye d'activer le chiffrement par SSL/TLS,
> ça ne marche pas. J'ai suivi un tas de tutos sur le net, mais aucun n'a
> fonctionné.
>
> D'après ce que j'ai lu, Debian a compilé OpenLDAP en utilisant GnuTLS au
> lieu de OpenSSL sur lesquels sont basés la majorité des tutos sur le net.
> J'ai aussi essayé de générer des certificats autosigné avec Certtool
> (GNUTLS) et même d'installer au CA sur mon serveur pour certifier les
> certificats, mais aucune de ces tentatives n'a marché.
>
> J'aimerai savoir si quelqu'un a réussi à faire fonctionner OpenLDAP sous
> Wheezy avec le TLS activé. Et si oui, j'aimerai avoir la démarche ou un
> lien vers le tuto qu'il a suivi.
>
>
>
> Entre temps, je vais jetter un coup d'oeil sur Apache Directory Server.
> Quelqu'un a un retour d'expérience dessus?
>
