Re: Quelques petits problèmes LDAP et autres considérations sans importance (sauf pour moi).

["Jean-Max Redonnet" <jmax.red@gmail.com>]

Merci pour votre réponse. J'essaierai en redémarrant le serveur ssh dès
demain en arrivant au boulot. En attendant, j'ai lu votre doc et j'en
profite pour poser quelques questions (en vrac au fur et à mesure
qu'elles me viennent )  :
- dans le fichier /etc/nsswitch.conf, quelle est la différence entre
compat et files ? Dans certaines docs, j'ai trouvé "passwd compat ldap"
et dans d'autres "passwd files ldap" (idem pour shadow et group). Même
si ça n'impacte pas vraiment mon problème, j'aimerais bien savoir
quelle est la différence entre les deux...
- comment  faire pour que les clients acceptent un certificat TLS auto
signé ? Je croyais que la ligne "TLS_REQCERT allow" du fichier
ldap.conf servait à ça, mais ça n'a pas l'air d'être le cas chez moi...
- dans le fichier slapd.conf, j'ai mis password-hash {MD5} ce qui, si
j'ai bien compris, fait que les mots de passe stockés dans ma base ldap
sont chiffrés en MD5 (je les génère avec slappasswd -h {MD5}). Par
contre dans le fichier ldap.conf, j'ai pam_password crypt, ce qui
correspond, je crois qu cryptage utilisé par défaut dans les fichiers
locaux, mais comme je n'ai pas d'idée très précise de l'utilité de
cette ligne (je l'ai trouvée dans une doc sans plus d'explications), je
me demande si ça ne crée pas un pb avec la première (et je n'ose pas
trop la changer parce que le mot de passe du root est lui stocké en
local avec le système des shadow passwords et je n'ai pas envie de
casser ça sous peine de ne plus pouvoir me loguer en root). Si
quelqu'un pouvait m'éclairer à ce sujet...
- autre problème : dans certaines docs on localise la base par une uri
et dans d'autres par un host. Quelle est la différence entre les deux ?
Voilà, voilà, voilà...

En
tout cas merci à vous de vous intéresser à mon problème et merci pour
tous ces pointeurs que je n'avais pas trouvés (et pourtant, j'en ai
fouillé des docs :-( !!! )

Bonne soirée.

Le 3 novembre 2008 17:37, Stephane Bortzmeyer <stephane@sources.org> a écrit :

On Mon, Nov 03, 2008 at 12:58:11PM +0100,
 Jean-Max Redonnet <jmax.red@gmail.com> wrote

 a message of 495 lines which said:

> Du coup, je me demande si j'ai besoin de TLS ou pas.

TLS me semble une bonne idée.

> En d'autre termes, avec le protocole ldap par défaut (celui qu'on
> trouve en 389 généralement), est-ce que les mots de passe circulent
> en clair sur le réseau ?

Hélas oui.

> J'ai aussi testé la connection SSH depuis le serveur lui-même :
> $ ssh lambda@localhost
> et ça marche pas ! dans auth.log, le module pam_ldap me sort un fatidique
> "Invalid credentials"

Vous aviez redémarré le serveur sshd ? Il ne lit les fichiers de
configuration PAM et NSS qu'au démarrage...

Ma doc :

http://www.bortzmeyer.org/comptes-unix-ldap.html