Re: LDAP et TLS
Merci pour ta réponse!
en fait, j'avais déjà SSL en place (ldaps) mais j'ai
entendu dire que c'est deprecated.
Bref, pour SSF, ça semble pas marcher terrible.. je
crée les certificats côté serveur, mais les clients ne
peuvent pas se logger, bien qu'ayant la CA signante.
dans auth.log du serveur, je remarque que le user a
été "denied" d'accés..
qu'et-ce que je rate?
--- Pierre Chifflier <chifflier@cpe.fr> a écrit :
> Jay Ar wrote:
> > Bonjour,
> >
> > quelqu'un saurait comment forcer les clients ldap
> à
> > utiliser TLS en communiquant avec le serveur ldap?
> > je cherche plutôt une config côté serveur bien
> > entendu, qui obligerait les clients à utiliser
> TLS.
> >
>
> Salut,
>
> Il faut utiliser les acl pour limiter les
> autorisations selon le ssf
> (security strength factors). Par exemple:
> access to *
> by dn="^cn=admin,ou=People,dc=domain,dc=com$"
> ssf=128 write
> by self ssf=128 write
> by anonymous ssf=128 auth
> by * none
>
> Plus d'infos dans man slapd.conf (5) et dans le
> manuel openldap
>
http://www.openldap.org/doc/admin23/slapdconf2.html#Access%20Control
>
> Sinon, tu as toujours la solution de n'utiliser que
> le SSL, en ne
> lancant LDAP que sur le port 636:
> SLAPD_SERVICES="ldaps:///" dans le
> /etc/default/slapd
> Par contre, cette solution n'autorise pas le TLS ...
>
> A+
>
>
> --
> Pensez à lire la FAQ de la liste avant de poser une
> question :
> http://wiki.debian.net/?DebianFrench
>
> Pensez à rajouter le mot ``spam'' dans vos champs
> "From" et "Reply-To:"
>
> To UNSUBSCRIBE, email to
> debian-user-french-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>
___________________________________________________________________________
Appel audio GRATUIT partout dans le monde avec le nouveau Yahoo! Messenger
Téléchargez cette version sur http://fr.messenger.yahoo.com
Reply to: