Vincent Jamart wrote:
Pour utiliser les features de cette version, j'ai configuré SSL via Yast puisque c'est documenté ainsi dans la doc. J'ai donc crée mon CA server et un certificat pour le hostname (et son virtual domain). J'ai ensuite repris ma config LDAP qui tournait sans TLS et j'ai configuré comme dans la doc http://www-uxsup.csx.cam.ac.uk/suse/adminguide-sles9/ch21s08.html.Est-ce que slapd écoute sur le port 636?
Je copie les certs & keys dans le répertoire de openldap avec les bon droits. Je lui dit d'utiliser le Common Server Certificate
Via YAst, il plante: Cannot write 'loglevel' et Cannot write 'TLS Settings'.
Je laisse alors YAst dde coté et je modifie à la main /etc/openldap.slapd.conf pour ajouter:
TLSCipherSuite RC5:3DES:SHA1:+SSL2
TLSCipherSuite HIGH:MEDIUM:+SSL2
TLSCACertificatePath /etc/openldap/certs
TLSCACertificateFile /etc/openldap/certs/ca-cert.pem
TLSCertificateFile /etc/openldap/certs/servercert.pem
TLSCertificateKeyFile /etc/openldap/certs/serverkey.pem
TLSRandFile /dev/urandom
Je modifie aussi /etc/sysconfig/openldap avec OPENLDAP_START_LDAPS="yes"
Je redémare le service et je teste:
ldapsearch -H ldaps://localhost -x ldap_bind: Can't contact LDAP server (-1)
sinon il faut le démarrer avec l'options -h "ldap:/// et ldaps:///"
Normalement aussi, tu pourrais essayer avec starttls sur le port par défaut avec l'option -ZZ
(mais avec -H ldap://localhsot ou -h localhost pour ldapsearch)
Xavier
_______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
