Leopold BAILLY a écrit :
Farget Vincent <farget@olfac.univ-lyon1.fr> writes:Bonjour à tous,Je suis en train de mettre en place, sur un serveur de test Debain Sarge un service d'annuaire 'OpenLDAP' sécurisé.Celui-ci marche bien en 'ldap' mais pas en 'ldaps'. J'ai un petit problème de vérification de certificat.[...]Modifications dans '/etc/ldap/slapd.conf' : ... -> TLSCipherSuite HIGH:MEDIUM:+SSLv2^^^^^ SSLv3 [...]-> ldapsearch -b "dc=TestNSS" -LLL -H "ldaps://aaa.bbb.ccc.ddd/" -x "(cn=admin)" ERREUR : ldap_bind: Can't contact LDAP server (-1) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed^^^^ [...]New, TLSv1/SSLv3, Cipher is AES256-SHA^^^^^Server public key is 1024 bit SSL-Session: Protocol : TLSv1 Cipher : AES256-SHASession-ID: 1D2FDD0C620A67C44DAD128FD35FE3D3CC9F554B9716C73C08CE97FF38F9822BSession-ID-ctx:Master-Key: 0C7D078193BB18BE43EB851BE83EE27C8BCE623AAA025E8BF9A8D8CA4E6AC80727ECFF596B257EFD43263F9AC6CF7B9FKey-Arg : None Start Time: 1128671693 Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) --- L'erreur est assez clair :-)En effet...
Problème résolu !!! Rien à voir avec le '+SSLv2' (TLSCipherSuite) :-(Il fallait juste avoir, sur l'ordi client, le certificat CA racine du serveur ('cacert.pem'), qu'il faut mentionné dans le fichier :
/etc/ldap/ldap.conf : ... TLS_CACERT /etc/ldap/cacert.pem ... Cordialement. -- - Mr FARGET Vincent Administrateur Systèmes / Informaticien de Laboratoire UMR 5020 - Laboratoire des Neurosciences et Systemes Sensoriels Universite Claude Bernard LYON 1 - CNRS 50, avenue Tony Garnier 69366 LYON Cedex 07 ## Ce message est signé par un certificat CNRS ## http://igc.services.cnrs.fr/Doc/General/trust.html http://www.urec.cnrs.fr/igc/Certifs_CNRS.html ##### # Pour que la signature soit valide, vous devrez # récupérer préalablement le certificat de # l'autorité de certification CNRS-Plus en # cliquant sur le lien ci dessous : http://igc.services.cnrs.fr/cgi-bin/viewca?cmd=load&CA=CNRS-Plus&ca=CNRS-Plus
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature