Authentification LDAP over SSL - Config client

[Anthony PAUL]

Bonjour à tous,

J'ai un problème pour l'utilisation de SSL/TLS lors de 
l'authentification de clients linux (knoppix 3.6) sur un serveur LDAP 
(OpenLDAP2.1.4).


En fait, tant que je n'utilise pas SSL, tout se passe bien.

A partir du moment ou SSL est activé, le serveur continue à fonctionner 
(id mmm -où mmm est un UID définit sur l'annuaire LDAP- me renvoie une 
réponse positive)


Mais il m'est impossible de me connecter avec cette utilisateur sur un 
Client. De même, toujours sur ce client, id mmm me dit que 
l'utilisateur n'existe pas.



Sur mon client, /var/log/auth me dit:
| Dec 10 09:58:30 monpc login[924]: pam_ldap: ldap_simple_bind Can't 
contact LDAP server
| Dec 10 09:58:30 monpc login[924]: nss_ldap: could not connect to any 
LDAP server as cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr - Can't contact 
LDAP server

| Dec 10 09:58:30 monpc last message repeated 3 times
| Dec 10 09:58:30 monpc login[924]: (pam_unix) check pass; user unknown
| Dec 10 09:58:30 monpc login[924]: (pam_unix) authentication failure; 
logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost=



Et sur le serveur j'ai seulement:
| Dec 10 11:01:29 borea slapd[7365]: daemon: conn=3 fd=14 connection 
from IP=10.23.1.24:33199 (IP=0.0.0.0:636) accepted.

| Dec 10 11:01:29 borea slapd[7365]: conn=3 fd=14 closed


Aucun BIND... (NB: ils ne sont pas à la même heure)

Ceci dit, avec un compte local et l'appli LDAP Browser, j'arrive bien 
à me connecter au serveur LDAP et j'ai bien un BIND:
| Dec 10 11:03:31 borea slapd[7368]: conn=14 op=0 BIND 
dn=cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr method=128


LDAP Browser me demande à la connexion Do you want to trust the 
following CA certificate, je réponds oui, et j'ai accès. Avec le même 
binddn (qui est en l'occurence le Manager)


Du coup, je me dis que mon erreur vient de la config de mon Client 
Knoppix. Mais à part remplacer l'URI ldap://... en ldaps://... il n'y a 
-a priori- rien d'autre à faire.

J'ai quand même précisé le port (636).

Je joins ci-dessous mon ldap.conf qui est symlinké sur 
/etc/pam_ldap.conf et /etc/libnss-ldap.conf


Merci pour votre aide.

Anthony


## ldap.conf
host  borea.stlo.unicaen.fr
uri   ldaps://borea.stlo.unicaen.fr
base  o=iut,dc=stlo,dc=unicaen,dc=fr

ldap_version3
port 636

# Pas de binddn - donc en anonyme
#binddn cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr
#bindpw secret
#rootbinddn cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr

# Pour un bon filtre de recherche:
#--
# Definit l'attribut contenant le login (defaut: uid)
pam_login_attribute  uid
# Filtre a utiliser pour et avec pam_login_attribute
pam_filter objectClass=posixAccount
nss_base_passwd ou=People,o=iut,dc=stlo,dc=unicaen,dc=fr?one
nss_base_shadow ou=People,o=iut,dc=stlo,dc=unicaen,dc=fr?one
nss_base_group  ou=Group,o=iut,dc=stlo,dc=unicaen,dc=fr?one

pam_password crypt

Re: Authentification LDAP over SSL - Config client [résolu?]

[Anthony PAUL]

Je pense avoir résolu le problème...
Bizarrement, en plus de l'URI, il semble qu'un
ssl on
soit nécessaire dans le ldap.conf (?)

Anthony

Re: Authentification LDAP over SSL - Config client [résolu?]

[Sébastien GALLET]

Anthony PAUL a écrit :


Je pense avoir résolu le problème...
Bizarrement, en plus de l'URI, il semble qu'un
ssl on
Merci beaucoup ... tu viens de résoudre aussi un problème que je traine 
depuis quelques temps.:)) A l'époque j'avais lachement anbandonné.

Je te confirme : avec ssl on,  ça marche mieux

soit nécessaire dans le ldap.conf (?)

Anthony

Sébastien

Re: Authentification LDAP over SSL - Config client [résolu?]

[Anthony PAUL]

Sébastien GALLET wrote:

Merci beaucoup ... tu viens de résoudre aussi un problème que je traine 
depuis quelques temps.:)) A l'époque j'avais lachement anbandonné.

Je te confirme : avec ssl on,  ça marche mieux


Ca fait plaisir de voir que je n'ai pas posté pour rien :)

J'en profite pour poser une petite question HS: Y a-t-il un endroit où 
je pourrais trouver une définition des différents attirbuts? (je veux 
dire, à part lire les RFC une à une...)


Parce que par exemple, dans la classe d'objets inetOrgPerson, il y a des 
attributs comme audio ou allows dont je voudrais savoir la 
signification ou bien la différence entre photo et jpegphoto..



Anthony

Re: Authentification LDAP over SSL - Config client [résolu?]

[Sébastien GALLET]

Anthony PAUL a écrit :


J'en profite pour poser une petite question HS: Y a-t-il un endroit où 
je pourrais trouver une définition des différents attirbuts? (je veux 
dire, à part lire les RFC une à une...)


Dans les schemas (/etc/ldap/schema), tu as une description succinte des 
attributs.


Parce que par exemple, dans la classe d'objets inetOrgPerson, il y a des 
attributs comme audio ou allows dont je voudrais savoir la 

par exemple :
# 9.3.45.  Audio
#
#  The Audio attribute type allows the storing of sounds in the
#  Directory.  The attribute uses a u-law encoded sound file as used by
#  the play utility on a Sun 4.  This is an interim format.
#
#audio ATTRIBUTE
#WITH ATTRIBUTE-SYNTAX
#Audio
#(SIZE (1 .. ub-audio))
#::= {pilotAttributeType 55}
#
attributetype ( 0.9.2342.19200300.100.1.55 NAME 'audio'
DESC 'RFC1274: audio (u-law)'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.4{25000} )


signification ou bien la différence entre photo et jpegphoto..





Anthony

Sebastien