Re: LDAP et TLS

To: Pierre Chifflier <chifflier@cpe.fr>
Cc: Liste Debian <debian-user-french@lists.debian.org>
Subject: Re: LDAP et TLS
From: Jay Ar <jayarftrd@yahoo.fr>
Date: Mon, 8 Aug 2005 12:05:11 +0200 (CEST)
Message-id: <[🔎] 20050808100511.92776.qmail@web26202.mail.ukl.yahoo.com>
In-reply-to: <[🔎] 42F37D62.7080903@cpe.fr>

Re!

Merci pour ton aide, j'ai réussi à faire fonctionner
le TLS, avec une ssf de 128.
mais là, j'arrive plus à y accéder avec mon ldap
browser, ni d'ailleurs avec mon JXplorer.
Avec GQ, j'arrive à y accéder seulement depuis le
serveur ldap lui-même, et quand j'essaie à partir des
clients de ce serveur (clients qui se connectent sans
problème au serveur), j'obtiens l'erreur suivante:
"Couldn't enable TLS on the LDAP connection to
'mon-serveur': Connect error. Additionnal error: Error
in certificate."

Vu que le client arrive à se connecter sans problème
au serveur pour s'authentifier etc, je doute fort
qu'il y ait une erreur dans le certificat.
aurais-tu une idée de ce qui ne marche pas?
quel ldap browser utilises-tu avec ta connexion en ssf
de 128?

merci encore une fois!

Jay Ar

--- Pierre Chifflier <chifflier@cpe.fr> a écrit :

> Jay Ar wrote:
> > Merci pour ta réponse!
> > 
> > en fait, j'avais déjà SSL en place (ldaps) mais
> j'ai
> > entendu dire que c'est deprecated.
> > Bref, pour SSF, ça semble pas marcher terrible..
> je
> > crée les certificats côté serveur, mais les
> clients ne
> > peuvent pas se logger, bien qu'ayant la CA
> signante.
> > dans auth.log du serveur, je remarque que le user
> a
> > été "denied" d'accés..
> > 
> 
> Avec un log ce serait plus facile ..
> SSL n'est pas moins bien que TLS, il fonctionne
> juste differement (en
> TLS la connection commence en clair et se crypte sur
> demande du client
> ou du serveur, en SSL la connection commence
> cryptée).
> Pour SSF, il faut faire des test plus poussés, par
> exemple tester avec
> la ligne de commande ldap:
> ldapclient -ZZ -x -h serveur -b 'dc=domaine,dc=com'
> 
> Le -ZZ demande de passer en mode TLS, ce qui permet
> de vérifier que le
> client accepte le certificat du serveur.
> Par défaut, ce n'est pas le cas, il faut ajouter une
> ligne du genre
> TLS_CACERT	/etc/ssl/certs/ca.pem
> dans /etc/ldap/ldap.conf.
> 
> Pour le 'denied', il faut regarder les logs du
> serveur. Il se peut qu'un
> SSF de 128 soit un peu élevé, surtout si l'algo de
> cryptage choisi n'est
> pas assez fort. Essaye avec une valeur de 64 pour
> voir si ça change
> quelque chose.
> 
> A+,
> 
> Pierre
> 
> 
> -- 
> Pensez à lire la FAQ de la liste avant de poser une
> question :
> http://wiki.debian.net/?DebianFrench
> 
> Pensez à rajouter le mot ``spam'' dans vos champs
> "From" et "Reply-To:"
> 
> To UNSUBSCRIBE, email to
> debian-user-french-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> 
> 

___________________________________________________________________________ 
Appel audio GRATUIT partout dans le monde avec le nouveau Yahoo! Messenger 
Téléchargez cette version sur http://fr.messenger.yahoo.com

Reply to:

References:
- Re: LDAP et TLS
  - From: Pierre Chifflier <chifflier@cpe.fr>

Prev by Date: Re: Conseils sur l'achat d'une imprimante laser couleur
Next by Date: Re: Conseils sur l'achat d'une imprimante laser couleur
Previous by thread: Re: LDAP et TLS
Next by thread: quelles libs pour make xconfig?
Index(es):
- Date
- Thread