Le lun, 14/06/2004 à 10:24 +0200, Cédric Devillers a écrit : > COMBES Julien, CETE Lyon/DI/ET/PAMELA wrote: > > - à partir de openldap 2.1 des certificats auto-signés ne suffisent > > pas, il faut une autorité de certification. [...] > comme je n'avais autorisé que l'authentification tls ( bind anonyme non > autorisé et tls obligatoire ), c'est l'ensemble de la connexion qui ne > fonctionne pas. > Les paramètres concernant les certificats sont renseignés correctement, > par contre, il se trouve que j'utilise la version 2.1 avec mon propre > certificat CA. > Mais d'après ce que vous dites, ça ne fonctionne pas avec cette version > ?! Il n'y a aucun autre moyen que d'utiliser une autorité de > certification ? Il sert à quoi le TLSCACertificateFile dans ce cas, si > on ne peut pas utiliser son propre certificat ( généré par CA.sh ). > Est-ce que je dois plutôt m'orienter vers une authentification sasl ? Je pense qu'il voulait parler de ne pas utiliser un certificat auto- signé (tel que l'exemple de la FAQ[1] d'apache-ssl). Il faudrait donc, générer un certificat Root CA, auto-signé. Puis générer un certificat serveur pour le service LDAPS et le signer avec le premier. Sinon, soit tu utilises une PKI telle que IDX-PKI[2] ou OpenCA[3]. La dernière option resterait d'acheter un tel certificat auprès d'une société telle que Verisign (voire mieux: auprès d'une des CCI française). [1]: http://www.apache-ssl.org/#FAQ [2]: http://idx-pki.idealx.org/ [3]: http://www.openca.org/ -- Raphaël 'SurcouF' Bordet surcouf@debianfr.net #debianfr@undernet | http://www.debianfr.net
Attachment:
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=