[HS] Slapd et GNUTLS (Squeeze)

Le
David Dumortier
Bonjour,

je suis en train de découvrir les joies de OpenLDAP 2.4 sur Squeeze.
J'ai pu monter un slapd fonctionnel pour l'authentification, mais je n'arrive
pas à configurer le TLS. Il semble qu'il faille utiliser GNUTLS et plus OpenSSL.
Première question : est-ce vrai ?
Deuxième question : si je fais un openssl s_client -connect monserveur:636
j'obtiens un
24598:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:188

Configuration :
/etc/ldap/slapd.d/cn=config.ldif
olcTLSVerifyClient: demand
olcTLSCertificateFile: moncsr
olcTLSCertificateKeyFile: maclef

Génération de mes .key et .csr :
certtool --generate-privkey --outfile maclef
certtool --generate-request --load-privkey maclef --outfile moncsr

Evidement rien dans mon syslog même en debug any
--
David Dumortier

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110516094300.GB7489@nowhere.eden
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
David Dumortier
Le #23367731
Re-bonjour,

J'ai un peu avancé.

Le lun. mai 16 2011 � 11:43:00 +0200, David Dumortier dit :
Bonjour,

je suis en train de découvrir les joies de OpenLDAP 2.4 sur Squeeze.
J'ai pu monter un slapd fonctionnel pour l'authentification, mais je n'arrive
pas à configurer le TLS. Il semble qu'il faille utiliser GNUTLS et plus OpenSSL.
Première question : est-ce vrai ?
Deuxième question : si je fais un openssl s_client -connect monserveur:636
j'obtiens un
24598:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:188

Configuration :
/etc/ldap/slapd.d/cn=config.ldif
olcTLSVerifyClient: demand
olcTLSCertificateFile: moncsr
olcTLSCertificateKeyFile: maclef

Génération de mes .key et .csr :
certtool --generate-privkey --outfile maclef
certtool --generate-request --load-privkey maclef --outfile moncsr



Is this a TLS web client certificate? (y/N): y
Is this also a TLS web server certificate? (y/N): y
me génère un certificat un peu plus valide :
openssl s_client -connect monip:636 -showcerts
CONNECTED(00000003)
... les infos de mon csr ...
25480:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:188:

--
David Dumortier

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
JC
Le #23368521
Bonjour,

J'ai bataillé un moment je me rappelle moi aussi pour faire marcher mon
openLDAP.

Ne pas confondre SSL et TLS.
Un lien qui m'avait bien aidé :
http://www.openldap.org/lists/openldap-software/200810/msg00168.html


Sinon coté client il ne faut pas non plus oublier de copier (indispens able
sous Linux, sous WIndows je ne suis pas sur ?) le fichier certificat de
l'autorité racine pour passer en TLS il faut mettre dans ~/.ldaprc
TLS_CACERT /home/user/path/rootCA.crt
TLS_REQCERT try


En espérant que cela t'aidera.
Cordialement.
--
Salutations.
Jean-Claude

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
David Dumortier
Le #23369391
Bonjour,

Le lun. mai 16 2011 � 09:44:37 +0200, JC dit :
Bonjour,

J'ai bataillé un moment je me rappelle moi aussi pour faire marcher mon
openLDAP.

Ne pas confondre SSL et TLS.
Un lien qui m'avait bien aidé :
http://www.openldap.org/lists/openldap-software/200810/msg00168.html



Merci cela assoit ma compréhension entre les 2, qui était assez floue j'avoue.

Sinon coté client il ne faut pas non plus oublier de copier (indispensable
sous Linux, sous WIndows je ne suis pas sur ?) le fichier certificat de
l'autorité racine pour passer en TLS il faut mettre dans ~/.ldaprc
TLS_CACERT /home/user/path/rootCA.crt
TLS_REQCERT try



Pour l'instant j'essaie de le faire fonctionner avec un certificat auto-signé.
Je n'arrive pas à passer l'étape du "handshake".

En espérant que cela t'aidera.
Cordialement.
--
Salutations.
Jean-Claude


--
David Dumortier

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
JC
Le #23370331
Pour l'instant j'essaie de le faire fonctionner avec un certificat auto-s igné.
Je n'arrive pas à passer l'étape du "handshake".



Penses aussi que le cn de ton certificat doit matcher parfaitement le
résultat de ton "hostname -f"

Cordialement.
--
Salutations.
Jean-Claude

Les cigarettes c'est comme Windows :
j'ai arrêté il y a déjà plusieurs années et une ch ose est sure :
je suis complètement sevré et je suis pas prêt de m'y remett re.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
David Dumortier
Le #23370381
Bonjour,

Bon j'ai voulu me refaire une clef et un csr avec
certtool --generate-self-signed

Là c'est retour à la case départ.
Basic Constraints (critical):
Certificate Authority (CA): FALSE
Key Purpose (not critical):
TLS WWW Server.
Key Usage (critical):
Key encipherment.

-> Starting OpenLDAP: slapd failed!
-> slapd[29406]: main: TLS init def ctx failed: -1

Le mar. mai 17 2011 � 03:01:39 +0200, JC dit :

> Pour l'instant j'essaie de le faire fonctionner avec un certificat auto-signé.
> Je n'arrive pas à passer l'étape du "handshake".

Penses aussi que le cn de ton certificat doit matcher parfaitement le
résultat de ton "hostname -f"



Merci, j'ai corrigéi, effectivement ça manquait.

Cordialement.
--
Salutations.
Jean-Claude



Merci, j'avance petit à petit :-)
--
David Dumortier

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme