Bonjour � tous,
J'ai un probl�me pour l'utilisation de SSL/TLS lors de
l'authentification de clients linux (knoppix 3.6) sur un serveur LDAP
(OpenLDAP2.1.4).
En fait, tant que je n'utilise pas SSL, tout se passe bien.
A partir du moment ou SSL est activ�, le serveur continue � fonctionner
("id mmm" -o� mmm est un UID d�finit sur l'annuaire LDAP- me renvoie une
r�ponse positive)
Mais il m'est impossible de me connecter avec cette utilisateur sur un
Client. De m�me, toujours sur ce client, "id mmm" me dit que
l'utilisateur n'existe pas.
Sur mon client, /var/log/auth me dit:
| Dec 10 09:58:30 monpc login[924]: pam_ldap: ldap_simple_bind Can't
contact LDAP server
| Dec 10 09:58:30 monpc login[924]: nss_ldap: could not connect to any
LDAP server as cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr - Can't contact
LDAP server
| Dec 10 09:58:30 monpc last message repeated 3 times
| Dec 10 09:58:30 monpc login[924]: (pam_unix) check pass; user unknown
| Dec 10 09:58:30 monpc login[924]: (pam_unix) authentication failure;
logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost=
Et sur le serveur j'ai seulement:
| Dec 10 11:01:29 borea slapd[7365]: daemon: conn=3 fd=14 connection
from IP=10.23.1.24:33199 (IP=0.0.0.0:636) accepted.
| Dec 10 11:01:29 borea slapd[7365]: conn=3 fd=14 closed
Aucun BIND... (NB: ils ne sont pas � la m�me heure)
Ceci dit, avec un compte local et l'appli "LDAP Browser", j'arrive bien
� me connecter au serveur LDAP et j'ai bien un BIND:
| Dec 10 11:03:31 borea slapd[7368]: conn=14 op=0 BIND
dn="cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr" method=128
LDAP Browser me demande � la connexion "Do you want to trust the
following CA certificate", je r�ponds oui, et j'ai acc�s. Avec le m�me
binddn (qui est en l'occurence le Manager)
Du coup, je me dis que mon erreur vient de la config de mon Client
Knoppix. Mais � part remplacer l'URI ldap://... en ldaps://... il n'y a
-a priori- rien d'autre � faire.
J'ai quand m�me pr�cis� le port (636).
Je joins ci-dessous mon ldap.conf qui est symlink� sur
/etc/pam_ldap.conf et /etc/libnss-ldap.conf
Merci pour votre aide.
Anthony
## ldap.conf
host borea.stlo.unicaen.fr
uri ldaps://borea.stlo.unicaen.fr
base o=iut,dc=stlo,dc=unicaen,dc=fr
ldap_version 3
port 636
# Pas de binddn -> donc en anonyme
#binddn cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr
#bindpw secret
#rootbinddn cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr
# Pour un bon filtre de recherche:
#----------------------------------
# Definit l'attribut contenant le login (defaut: uid)
pam_login_attribute uid
# Filtre a utiliser pour et avec pam_login_attribute
pam_filter objectClass=posixAccount
nss_base_passwd ou=People,o=iut,dc=stlo,dc=unicaen,dc=fr?one
nss_base_shadow ou=People,o=iut,dc=stlo,dc=unicaen,dc=fr?one
nss_base_group ou=Group,o=iut,dc=stlo,dc=unicaen,dc=fr?one
pam_password crypt
