Authentification LDAP over SSL - Config client
Bonjour à tous,
J'ai un problème pour l'utilisation de SSL/TLS lors de
l'authentification de clients linux (knoppix 3.6) sur un serveur LDAP
(OpenLDAP2.1.4).
En fait, tant que je n'utilise pas SSL, tout se passe bien.
A partir du moment ou SSL est activé, le serveur continue à fonctionner
("id mmm" -où mmm est un UID définit sur l'annuaire LDAP- me renvoie une
réponse positive)
Mais il m'est impossible de me connecter avec cette utilisateur sur un
Client. De même, toujours sur ce client, "id mmm" me dit que
l'utilisateur n'existe pas.
Sur mon client, /var/log/auth me dit:
| Dec 10 09:58:30 monpc login[924]: pam_ldap: ldap_simple_bind Can't
contact LDAP server
| Dec 10 09:58:30 monpc login[924]: nss_ldap: could not connect to any
LDAP server as cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr - Can't contact
LDAP server
| Dec 10 09:58:30 monpc last message repeated 3 times
| Dec 10 09:58:30 monpc login[924]: (pam_unix) check pass; user unknown
| Dec 10 09:58:30 monpc login[924]: (pam_unix) authentication failure;
logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost=
Et sur le serveur j'ai seulement:
| Dec 10 11:01:29 borea slapd[7365]: daemon: conn=3 fd=14 connection
from IP=10.23.1.24:33199 (IP=0.0.0.0:636) accepted.
| Dec 10 11:01:29 borea slapd[7365]: conn=3 fd=14 closed
Aucun BIND... (NB: ils ne sont pas à la même heure)
Ceci dit, avec un compte local et l'appli "LDAP Browser", j'arrive bien
à me connecter au serveur LDAP et j'ai bien un BIND:
| Dec 10 11:03:31 borea slapd[7368]: conn=14 op=0 BIND
dn="cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr" method=128
LDAP Browser me demande à la connexion "Do you want to trust the
following CA certificate", je réponds oui, et j'ai accès. Avec le même
binddn (qui est en l'occurence le Manager)
Du coup, je me dis que mon erreur vient de la config de mon Client
Knoppix. Mais à part remplacer l'URI ldap://... en ldaps://... il n'y a
-a priori- rien d'autre à faire.
J'ai quand même précisé le port (636).
Je joins ci-dessous mon ldap.conf qui est symlinké sur
/etc/pam_ldap.conf et /etc/libnss-ldap.conf
Merci pour votre aide.
Anthony
## ldap.conf
host borea.stlo.unicaen.fr
uri ldaps://borea.stlo.unicaen.fr
base o=iut,dc=stlo,dc=unicaen,dc=fr
ldap_version 3
port 636
# Pas de binddn -> donc en anonyme
#binddn cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr
#bindpw secret
#rootbinddn cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr
# Pour un bon filtre de recherche:
#----------------------------------
# Definit l'attribut contenant le login (defaut: uid)
pam_login_attribute uid
# Filtre a utiliser pour et avec pam_login_attribute
pam_filter objectClass=posixAccount
nss_base_passwd ou=People,o=iut,dc=stlo,dc=unicaen,dc=fr?one
nss_base_shadow ou=People,o=iut,dc=stlo,dc=unicaen,dc=fr?one
nss_base_group ou=Group,o=iut,dc=stlo,dc=unicaen,dc=fr?one
pam_password crypt
Reply to: