Le lun, 14/06/2004 � 10:24 +0200, C�dric Devillers a �crit : > COMBES Julien, CETE Lyon/DI/ET/PAMELA wrote: > > - � partir de openldap 2.1 des certificats auto-sign�s ne suffisent > > pas, il faut une autorit� de certification.
[...] > comme je n'avais autoris� que l'authentification tls ( bind anonyme non > autoris� et tls obligatoire ), c'est l'ensemble de la connexion qui ne > fonctionne pas. > Les param�tres concernant les certificats sont renseign�s correctement, > par contre, il se trouve que j'utilise la version 2.1 avec mon propre > certificat CA. > Mais d'apr�s ce que vous dites, �a ne fonctionne pas avec cette version > ?! Il n'y a aucun autre moyen que d'utiliser une autorit� de > certification ? Il sert � quoi le TLSCACertificateFile dans ce cas, si > on ne peut pas utiliser son propre certificat ( g�n�r� par CA.sh ). > Est-ce que je dois plut�t m'orienter vers une authentification sasl ? Je pense qu'il voulait parler de ne pas utiliser un certificat auto- sign� (tel que l'exemple de la FAQ[1] d'apache-ssl). Il faudrait donc, g�n�rer un certificat Root CA, auto-sign�. Puis g�n�rer un certificat serveur pour le service LDAPS et le signer avec le premier. Sinon, soit tu utilises une PKI telle que IDX-PKI[2] ou OpenCA[3]. La derni�re option resterait d'acheter un tel certificat aupr�s d'une soci�t� telle que Verisign (voire mieux: aupr�s d'une des CCI fran�aise). [1]: http://www.apache-ssl.org/#FAQ [2]: http://idx-pki.idealx.org/ [3]: http://www.openca.org/ -- Rapha�l 'SurcouF' Bordet [EMAIL PROTECTED] [EMAIL PROTECTED] | http://www.debianfr.net
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
