Bonjour,
J'essaie de mettre en place la couche TLS pour les communications avec un
annuaire LDAP.
Debian 3.1r1, OpenLDAP 2.2.23-8, Samba 3.0.14a, libnss-ldap 238-1,
libpam-ldap 178-1, smbldap-tools 0.9.2
La machine nommé PDC-SRV appartient au domaine "oac" et sert de controleur
de domaine (PDC) Samba avec annuaire LDAP, plus quelques services (DHCP,
DNS, ...)
J'ai suivi plusieurs tutoriaux (plusieurs se recoupent et divergent), et je
suis arrivé à une configuration qui marche très bien sans TLS.
Le problème vient quand j'active TLS avec start_tls (pas SSL, je reste sur
le port 389 avec la couche TLS).
Voici les modifications apportées pour TLS, tout d'abord les certificats :
mkdir /etc/ldap/cert
*** certif serveur
# openssl genrsa -out serverkey.pem 1024
# openssl req -new -key serverkey.pem -out servercert.req
tout est laissé par défaut, sauf le CN : PDC-SRV.oac
*** certif de la CA
# openssl genrsa -out cakey.pem 1024
# openssl req -new -x509 -key cakey.pem -out cacert.pem -days 365
tout est laissé par défaut, sauf le CN : CA
*** signature du certif serveur par la CA
# openssl x509 -req -in servercert.req -out servercert.pem -CA cacert.pem
-CAkey cakey.pem -days 365 -CAcreateserial
# chmod 400 serverkey.pem
*** modification de /etc/ldap/slapd.conf
TLSCertificateFile /etc/ldap/cert/servercert.pem
TLSCertificateKeyFile /etc/ldap/cert/serverkey.pem
TLSCACertificateFile /etc/ldap/cert/cacert.pem
*** modification de /etc/ldap/ldap.conf
HOST 127.0.0.1 # pour info, deja présent
TLS_CACERT /etc/ldap/cert/cacert.pem
ssl start_tls
tls_checkpeer yes
tls_cacertfile /etc/ldap/cert/cacert.pem
*** Redémarrage du serveur
# /etc/init.d/slapd restart
pas d'erreur
*** Tests de recherche dans l'annuaire
# ldapsearch -b 'dc=oac' -ZZ -xh PDC-SRV.oac -v
ldap_initialize( ldap://PDC-SRV.oac )
ldap_start_tls: Can't contact LDAP server (-1)
# ldapsearch -b 'dc=oac' -Z -xh PDC-SRV.oac -v
ldap_initialize( ldap://PDC-SRV.oac )
ldap_start_tls: Can't contact LDAP server (-1)
ldap_bind: Can't contact LDAP server (-1)
# ldapsearch -b 'dc=oac' -ZZ -x -v
ldap_initialize( DEFAULT )
ldap_start_tls: Connect error (-11)
additionnal info: TLS: hostname does not match CN in peer certificate
lors de ce test, je vois dans les logs de slapd cette ligne :
connection_read(9): unable to get TLS client DN, error 49 id=5
# ldapsearch -b 'dc=oac' -Z -x -v
ldap_initialize( DEFAULT )
ldap_start_tls: Connect error (-11)
additionnal info: TLS: hostname does not match CN in peer certificate
filter: (objectclass=*)
requesting: ALL
[...] affichage des entrées de la base LDAP, ça marche si TLS n'est pas
employé donc.
Peut-être que ces tests peuvent permettre de voir d'où vient le problème.
Pourriez-vous m'aider à résoudre ce problème svp ?
Merci d'avance