samedi 06 septembre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Linux.general : ldap + tls

Posté par zorooo () le 01 juillet 2008
0

bonjour a tous :)



alors voila j'ai mis en place un serveur ldap pour authentification pour des connexions ssh

selon son compte on a droit a ce connecter sur tel ou tel serveur.

Ca marchait bien jusqu'a ce que j'essaye de tout faire fonctionner en tls donc toujours sur le port 389 d'apres ce que j'ai pu voir a droit a gauche.



quand je lance mon serveur ldap (log ldap):



[code]May 26 16:51:00 srvtest3 slapd[11794]: @(#) $OpenLDAP: slapd 2.3.27 (Jun 27 2007 08:48:26) $ brewbuilder@ls20-bc1-13.build.redhat.com:/builddir/bui

ld/BUILD/openldap-2.3.27/openldap-2.3.27/build-servers/servers/slapd

May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server

May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: could not search LDAP server - Server is unavailable

May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server

May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: could not search LDAP server - Server is unavailable

May 26 16:51:00 srvtest3 slapd[11794]: /etc/openldap/slapd.conf: line 34: rootdn is always granted unlimited privileges.

May 26 16:51:00 srvtest3 slapd[11794]: /etc/openldap/slapd.conf: line 40: rootdn is always granted unlimited privileges.

May 26 16:51:01 srvtest3 slapd[11795]: bdb_db_open: dc=mh,dc=org

May 26 16:51:01 srvtest3 slapd[11795]: slapd starting[/code]



/etc/openldap/ldap.conf :



[code]host 127.0.0.1

port 389

base dc=mh,dc=org

uri ldap://srvtest3.test.org

ldap_version 3

TLS_REQCERT allow[/code]



/etc/ldap.conf



[code]# TLS



ssl start_tls

ssl on



# Afin que le client puisse valider l'identitéu serveur, on doit le fournir la cléublique

# du CA avec laquelle il pourra éblir que le certificat du serveur a bien é signéar

# la clérivéde cette mê CA.

TLS_CACERT /usr/local/ssl/certs/ldap.crt

# On demande élement au client de toujours valider l'identitéu serveur.

TLS_REQCERT demand



# IP du serveur ldap



host srvtest3.test.org



# Le DN de base pour effectuer les recherche



base dc=mh,dc=org



# Optimisation de recherche dans la base



scope=one



# Pour que le poste demarre meme si le server ldap ne repond pas



bind_policy soft



# Version du protocole utilise



ldap_version 3



# Port ecoute serveur



port 389



# Filtres de validation dun utilisateur



pam_filter objectclass=account



pam_filter host=srvtest3.test.org



# Attribut compare avec lindentifiant de connexion de lutilisateur



pam_login_attribute uid



# Verification attribut host



pam_check_host_attr yes



# DN groupe auquel il faut appartenir pour acces machine locale



pam_groupdn ou=group,dc=mh,dc=org



# Definit lattribut dappartenance au groupe



pam_member_attribute member



# password envoi serveur



pam_password crypt



# Parametres nss-ldap de recherche



nss_base_passwd ou=user,dc=mh,dc=org?sub

nss_base_shadow ou=user,dc=mh,dc=org?sub

nss_base_group ou=group,dc=mh,dc=org?sub

nss_base_hosts ou=machines,dc=mh,dc=org?sub[/code]



quand j'essaye de me connecter en ssh avec un user ldap qui a bien les droit dans l'annuaire il reste bloqué ici :



[code]ssh videl@192.168.2.217

videl@192.168.2.217's password:[/code]



et les log du serveur 192.168.2.217 :



[code]May 26 16:53:40 srvtest3 sshd[11808]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server

May 26 16:53:40 srvtest3 sshd[11808]: nss_ldap: could not search LDAP server - Server is unavailable

May 26 16:53:40 srvtest3 sshd[11808]: Invalid user videl from 192.168.1.111

May 26 16:53:40 srvtest3 sshd[11809]: input_userauth_request: invalid user videl

May 26 16:53:46 srvtest3 sshd[11808]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server

May 26 16:53:46 srvtest3 sshd[11808]: nss_ldap: could not search LDAP server - Server is unavailable

May 26 16:53:46 srvtest3 sshd[11808]: pam_unix(sshd:auth): check pass; user unknown

May 26 16:53:46 srvtest3 sshd[11808]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.111[/code]



si qqu a deja fait ce genre de chose je veux bien un ptit coup de main :)



merci d'avance

> Lire le message (32 commentaires, moyenne: 1,4).  

Vous avez demandé le commentaire #945978.

port TLS LDAP

Posté par NeoX () le 01/07/2008 à 14:47. (lien). Évalué à 1.

pour moi (enfin sur mes configs) le port pour faire du TLS avec ldap c'est plutot le 636

mais je me trompe peut-etre

--
Apprendre par les autres, c'est bien.
Apprendre par soi-meme (RTFM, man, et notre ami google) c'est mieux

[ Répondre ]

  • [^]Re: port TLS LDAP

    Posté par Obsidian () le 01/07/2008 à 14:54. (lien). Évalué à 2.

    mais je me trompe peut-être

    Oui, enfin en partie.

    La man page stipule que l'une des grandes particuliarités du passage de SSL à TLS est l'utilisation (par défaut) du même port de communication.

    [ Répondre ]

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0493s (dont 0.0042 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !