Re: LDAP et TLS

To: Jay Ar <jayarftrd@yahoo.fr>
Cc: Liste Debian <debian-user-french@lists.debian.org>
Subject: Re: LDAP et TLS
From: Pierre Chifflier <chifflier@cpe.fr>
Date: Fri, 05 Aug 2005 16:53:22 +0200
Message-id: <[🔎] 42F37D62.7080903@cpe.fr>
In-reply-to: <[🔎] 20050805125748.22425.qmail@web26202.mail.ukl.yahoo.com>
References: <[🔎] 20050805125748.22425.qmail@web26202.mail.ukl.yahoo.com>

Jay Ar wrote:
> Merci pour ta réponse!
> 
> en fait, j'avais déjà SSL en place (ldaps) mais j'ai
> entendu dire que c'est deprecated.
> Bref, pour SSF, ça semble pas marcher terrible.. je
> crée les certificats côté serveur, mais les clients ne
> peuvent pas se logger, bien qu'ayant la CA signante.
> dans auth.log du serveur, je remarque que le user a
> été "denied" d'accés..
> 

Avec un log ce serait plus facile ..
SSL n'est pas moins bien que TLS, il fonctionne juste differement (en
TLS la connection commence en clair et se crypte sur demande du client
ou du serveur, en SSL la connection commence cryptée).
Pour SSF, il faut faire des test plus poussés, par exemple tester avec
la ligne de commande ldap:
ldapclient -ZZ -x -h serveur -b 'dc=domaine,dc=com'

Le -ZZ demande de passer en mode TLS, ce qui permet de vérifier que le
client accepte le certificat du serveur.
Par défaut, ce n'est pas le cas, il faut ajouter une ligne du genre
TLS_CACERT	/etc/ssl/certs/ca.pem
dans /etc/ldap/ldap.conf.

Pour le 'denied', il faut regarder les logs du serveur. Il se peut qu'un
SSF de 128 soit un peu élevé, surtout si l'algo de cryptage choisi n'est
pas assez fort. Essaye avec une valeur de 64 pour voir si ça change
quelque chose.

A+,

Pierre

Reply to:

Follow-Ups:
- Re: LDAP et TLS
  - From: Jay Ar <jayarftrd@yahoo.fr>

References:
- Re: LDAP et TLS
  - From: Jay Ar <jayarftrd@yahoo.fr>

Prev by Date: Re: Postfix,Clamav,Amavisd et spamassassin : pb avec spamassassin
Next by Date: Re: Outil permettant de faire un inventaire ?
Previous by thread: Re: LDAP et TLS
Next by thread: Re: LDAP et TLS
Index(es):
- Date
- Thread