[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Authentification LDAP over SSL - Config client




Bonjour à tous,

J'ai un problème pour l'utilisation de SSL/TLS lors de l'authentification de clients linux (knoppix 3.6) sur un serveur LDAP (OpenLDAP2.1.4).

En fait, tant que je n'utilise pas SSL, tout se passe bien.

A partir du moment ou SSL est activé, le serveur continue à fonctionner ("id mmm" -où mmm est un UID définit sur l'annuaire LDAP- me renvoie une réponse positive)

Mais il m'est impossible de me connecter avec cette utilisateur sur un Client. De même, toujours sur ce client, "id mmm" me dit que l'utilisateur n'existe pas.


Sur mon client, /var/log/auth me dit:
| Dec 10 09:58:30 monpc login[924]: pam_ldap: ldap_simple_bind Can't contact LDAP server | Dec 10 09:58:30 monpc login[924]: nss_ldap: could not connect to any LDAP server as cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr - Can't contact LDAP server
| Dec 10 09:58:30 monpc last message repeated 3 times
| Dec 10 09:58:30 monpc login[924]: (pam_unix) check pass; user unknown
| Dec 10 09:58:30 monpc login[924]: (pam_unix) authentication failure; logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost=


Et sur le serveur j'ai seulement:
| Dec 10 11:01:29 borea slapd[7365]: daemon: conn=3 fd=14 connection from IP=10.23.1.24:33199 (IP=0.0.0.0:636) accepted.
| Dec 10 11:01:29 borea slapd[7365]: conn=3 fd=14 closed


Aucun BIND... (NB: ils ne sont pas à la même heure)

Ceci dit, avec un compte local et l'appli "LDAP Browser", j'arrive bien à me connecter au serveur LDAP et j'ai bien un BIND: | Dec 10 11:03:31 borea slapd[7368]: conn=14 op=0 BIND dn="cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr" method=128

LDAP Browser me demande à la connexion "Do you want to trust the following CA certificate", je réponds oui, et j'ai accès. Avec le même binddn (qui est en l'occurence le Manager)

Du coup, je me dis que mon erreur vient de la config de mon Client Knoppix. Mais à part remplacer l'URI ldap://... en ldaps://... il n'y a -a priori- rien d'autre à faire.
J'ai quand même précisé le port (636).

Je joins ci-dessous mon ldap.conf qui est symlinké sur /etc/pam_ldap.conf et /etc/libnss-ldap.conf

Merci pour votre aide.

Anthony


## ldap.conf
host      borea.stlo.unicaen.fr
uri       ldaps://borea.stlo.unicaen.fr
base      o=iut,dc=stlo,dc=unicaen,dc=fr

ldap_version    3
port 636

# Pas de binddn -> donc en anonyme
#binddn cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr
#bindpw secret
#rootbinddn cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr

# Pour un bon filtre de recherche:
#----------------------------------
# Definit l'attribut contenant le login (defaut: uid)
pam_login_attribute  uid
# Filtre a utiliser pour et avec pam_login_attribute
pam_filter objectClass=posixAccount
nss_base_passwd ou=People,o=iut,dc=stlo,dc=unicaen,dc=fr?one
nss_base_shadow ou=People,o=iut,dc=stlo,dc=unicaen,dc=fr?one
nss_base_group  ou=Group,o=iut,dc=stlo,dc=unicaen,dc=fr?one

pam_password crypt



Reply to: