Migration Etch --> Lenny : probleme LDAP GnuTLS/SSL
1 réponse
JC
Bonjour,
J'entreprends peu =C3=A0 peu de passer mes machines en Lenny.
Jusqu'=C3=A0 maintenant pas de soucis sauf sur un cas bien pr=C3=A9cis.
Je m'explique. Sur une de mes BOX j'ai un serveur LDAP avec un avec acces
crypt=C3=A9. Jusqu'=C3=A0 pr=C3=A9sent (en etch) LDAP utilisait openSSL ave=
c une directive=20
TLSCipherSuite HIGH
Bon maintenant j'ai pu comprendre qu'avec la version de Lenny slapd 2.4.11-=
1=20
(en etch il y avait slapd 2.3.30-5+etch2)
LDAP n'utilise plus SSL mais GnuTLS pour un probl=C3=A8me de licence de Ope=
nSSL
En cherchant un peu sur le net (la doc ne m'a pas permis de trouver cela se=
ul:
bud sur la doc =C3=A0 ce qui parait) j'ai pu lire que la directive=20
TLSCipherSuite HIGH
ne convenait plus et qu'il fallait mettre un :
TLSCipherSuite $1
ou $1 est une sortie de 'gnutls-cli -l'
Malgr=C3=A9 de la recherche sur le net, impossible de r=C3=A9soudre mon pro=
bl=C3=A8me.
La connection sur mon LDAP en s=C3=A9curis=C3=A9 ne veut pas se faire=20
ldapsearch -x -h hostname.fqdn -b "arbre" -ZZ
me retourne un zoli "Can't connect ..."
En local en clair cela passe =C3=A9videmment.
ldapsearch -x -h 127.0.0.1 -b "arbre"=20
passe sans soucis !
Pour l'instant j'ai bidouill=C3=A9 une solution qui me permet de m'en sorti=
r mais
c'est pas tr=C3=A8s propre.
J'aimerai bien faire marcher simplement mon slapd avec du chiffrement
simplement (comme =C3=A7a se passait avant en etch avec openSSL)
Bref, excusez moi si je suis peut-=C3=AAtre un peu HS sur cette liste=20
mais juste 2 questions/remarques :
1. l'un d'entre vous a-t-il d=C3=A9j=C3=A0 fait une migration de etch vers =
lenny avec un
LDAP en s=C3=A9curis=C3=A9 ?
Si oui comment as-t-il r=C3=A9solu son probl=C3=A8me ?
2. en parcourant le net je suis tomb=C3=A9 sur un article fort inqui=C3=A9t=
ant =C3=A0 propos
de GnuTLS
http://sid.rstack.org/blog/index.php/310-gnutls-vs-debian-openssl
Cela ne m'a pas l'air tr=C3=A8s rassurant. Qu'en pensez-vous ?
Cordialement.
--=20
Salutations.
Jean-Claude
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stephane Bortzmeyer
On Fri, Feb 27, 2009 at 11:51:50AM +0100, JC wrote a message of 69 lines which said:
2. en parcourant le net je suis tombé sur un article fort inquiétant à propos de GnuTLS http://sid.rstack.org/blog/index.php/310-gnutls-vs-debian-openssl Cela ne m'a pas l'air très rassurant. Qu'en pensez-vous ?
Contrairement à la grande majorité des articles de ce blog, celui sur GnuTLS est largement du pipeau.
GnuTLS est un excellent logiciel, bien maintenu par un expert (Simon Josefsson).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Fri, Feb 27, 2009 at 11:51:50AM +0100,
JC <jc2009@aygalenq.net> wrote
a message of 69 lines which said:
2. en parcourant le net je suis tombé sur un article fort inquiétant
à propos de GnuTLS
http://sid.rstack.org/blog/index.php/310-gnutls-vs-debian-openssl
Cela ne m'a pas l'air très rassurant. Qu'en pensez-vous ?
Contrairement à la grande majorité des articles de ce blog, celui sur
GnuTLS est largement du pipeau.
GnuTLS est un excellent logiciel, bien maintenu par un expert (Simon
Josefsson).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Fri, Feb 27, 2009 at 11:51:50AM +0100, JC wrote a message of 69 lines which said:
2. en parcourant le net je suis tombé sur un article fort inquiétant à propos de GnuTLS http://sid.rstack.org/blog/index.php/310-gnutls-vs-debian-openssl Cela ne m'a pas l'air très rassurant. Qu'en pensez-vous ?
Contrairement à la grande majorité des articles de ce blog, celui sur GnuTLS est largement du pipeau.
GnuTLS est un excellent logiciel, bien maintenu par un expert (Simon Josefsson).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact