Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Wheezy+OpenLDAP+SSL/TLS

2 réponses
Avatar
YOUNOUSS Abba Soungui
--Boundary-01=_EqQ8Re7WsBwFbyL
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'essaye de mettre en place un serveur LDAP sous Wheezy, l'installation se =
passe=20
probl=E8me, mais quand j'essaye d'activer le chiffrement par SSL/TLS, =E7a =
ne marche=20
pas. J'ai suivi un tas de tutos sur le net, mais aucun n'a fonctionn=E9.
D'apr=E8s ce que j'ai lu, Debian a compil=E9 OpenLDAP en utilisant GnuTLS a=
u lieu de=20
OpenSSL sur lesquels sont bas=E9s la majorit=E9 des tutos sur le net. J'ai =
aussi=20
essay=E9 de g=E9n=E9rer des certificats autosign=E9 avec Certtool (GNUTLS) =
et m=EAme=20
d'installer au CA sur mon serveur pour certifier les certificats, mais aucu=
ne de=20
ces tentatives n'a march=E9.
J'aimerai savoir si quelqu'un a r=E9ussi =E0 faire fonctionner OpenLDAP sou=
s Wheezy=20
avec le TLS activ=E9. Et si oui, j'aimerai avoir la d=E9marche ou un lien v=
ers le=20
tuto qu'il a suivi.

Entre temps, je vais jetter un coup d'oeil sur Apache Directory Server.=20
Quelqu'un a un retour d'exp=E9rience dessus?

--Boundary-01=_EqQ8Re7WsBwFbyL
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN" "http://www.w3.org/TR/REC-=
html40/strict.dtd">
<html><head><meta name=3D"qrichtext" content=3D"1" /><style type=3D"text/cs=
s">
p, li { white-space: pre-wrap; }
</style></head><body style=3D" font-family:'DejaVu Sans Mono'; font-size:9p=
t; font-weight:400; font-style:normal;">
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Bonjour,</p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">J'essaye de=
mettre en place un serveur LDAP sous Wheezy, l'installation se passe probl=
=E8me, mais quand j'essaye d'activer le chiffrement par SSL/TLS, =E7a ne ma=
rche pas. J'ai suivi un tas de tutos sur le net, mais aucun n'a fonctionn=
=E9.</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">D'apr=E8s c=
e que j'ai lu, Debian a compil=E9 OpenLDAP en utilisant GnuTLS au lieu de O=
penSSL sur lesquels sont bas=E9s la majorit=E9 des tutos sur le net. J'ai a=
ussi essay=E9 de g=E9n=E9rer des certificats autosign=E9 avec Certtool (GNU=
TLS) et m=EAme d'installer au CA sur mon serveur pour certifier les certifi=
cats, mais aucune de ces tentatives n'a march=E9.</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">J'aimerai s=
avoir si quelqu'un a r=E9ussi =E0 faire fonctionner OpenLDAP sous Wheezy av=
ec le TLS activ=E9. Et si oui, j'aimerai avoir la d=E9marche ou un lien ver=
s le tuto qu'il a suivi.</p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Entre temps=
, je vais jetter un coup d'oeil sur Apache Directory Server. Quelqu'un a un=
retour d'exp=E9rience dessus?</p></body></html>
--Boundary-01=_EqQ8Re7WsBwFbyL--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201307251222.44331.yasalos@yahoo.fr

2 réponses

Avatar
Steven D
--001a113321de51b34e04e266a567
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'ai déjà ensuite à plusieurs reprise des serveurs OpenLDAP avec TLS.
En effet je me suis heurté à quelques difficultés pour la création des
certificats.


Tout d'abord tu peux vérifié avec quoi OpenLDAP à été compilé, pour cela :
# ldd /usr/sbin/slapd
et vérifier la présence de la ligne suivant :
libgnutls.so.26 => /usr/lib/libgnutls.so.26

Si t'elle est le cas, tu dois bien utilisé gnutls.


Pour l'autorité de certification :

1 - Commencé par créer la clé privée pour le certificat auto-sign é :
# certtool --generate-privkey > /etc/ssl/private/cakey.pem

2 - Créer un fichier de paramétrage :
# vim /etc/ssl/ca.info

Avec les données suivantes à adapter bien sur :
cn = Ma boite
ca
cert_signing_key

3 - Ensuite il faut créer le certificat auto-signé comme suivant :
certtool --generate-self-signed --load-privkey
/etc/ssl/private/cakey.pem --template /etc/ssl/ca.info --outfile
/etc/ssl/certs/cacert.pem

Tu obtiens le certificat auto-signé de l'autorité de certificat !


Il faut ensuite créer les certificats pour chaque serveur (provider et
consumer) comme cela :

1 - Génération de la clé privée pour le serveur :
# certtool --generate-privkey >
/etc/ssl/private/debian-LDAP1_slapd_key.pem

2 - Création du fichier d'information avec les paramètres suivants :
# vim /etc/ssl/debian-LDAP1.info

organization = Example Company
cn = debian-LDAP1.ma-boite.fr
tls_www_server
encryption_key
signing_key

3 - Générer le certificat du serveur :
# certtool --generate-certificate --load-privkey
/etc/ssl/private/debian-LDAP1_slapd_key.pem --load-ca-certificate
/etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem
--template /etc/ssl/debian-LDAP1.info --outfile
/etc/ssl/certs/debian-LDAP1_slapd_cert.pem


Il faut faire bien vérifier que OpenLDAP à les droits sur les certifica ts,
sinon le démon ne démarrera pas:
Exemple de droits :

# chgrp openldap /etc/ssl/certs/cacert.pem
# chmod 750 /etc/ssl/certs/cacert.pem
# chgrp openldap /etc/ssl/certs/debian-LDAP1_slapd_cert.pem
# chmod 750 /etc/ssl/certs/debian-LDAP1_slapd_cert.pem
# chgrp openldap /etc/ssl/private/debian-LDAP1_slapd_key.pem
# chmod 750 /etc/ssl/private/debian-LDAP1_slapd_key.pem

Pour finir dans ta config LDAP, il te faut renseigner les paramètres
suivants:

# TLS/SSL
TLSCiphersuite SECURE256:!AES-128-CBC
TLSCACertificateFile /etc/ssl/certs/cacert.pem
TLSCertificateFile /etc/ssl/certs/debian-LDAP1_slapd_cert.pem
TLSCertificateKeyFile /etc/ssl/private/debian-LDAP1_slapd_key.pem


Si tous est bien en place, tu devras voir dans les logs des lignes comme
celle-ci :
Jul 26 11:10:50 ldap01-v slapd[8339]: conn866 op=0 STARTTLS
Jul 26 11:10:50 ldap01-v slapd[8339]: conn866 op=0 RESULT oid =
err=0 text=
Jul 26 11:10:50 ldap01-v slapd[8339]: conn866 fd7 TLS establi shed
tls_ssf%6 ssf%6


Steven


Le 25 juillet 2013 13:22, YOUNOUSS Abba Soungui a écri t :

**

Bonjour,



J'essaye de mettre en place un serveur LDAP sous Wheezy, l'installation s e
passe problème, mais quand j'essaye d'activer le chiffrement par SSL/TL S,
ça ne marche pas. J'ai suivi un tas de tutos sur le net, mais aucun n'a
fonctionné.

D'après ce que j'ai lu, Debian a compilé OpenLDAP en utilisant GnuTLS au
lieu de OpenSSL sur lesquels sont basés la majorité des tutos sur le net.
J'ai aussi essayé de générer des certificats autosigné avec Certt ool
(GNUTLS) et même d'installer au CA sur mon serveur pour certifier les
certificats, mais aucune de ces tentatives n'a marché.

J'aimerai savoir si quelqu'un a réussi à faire fonctionner OpenLDAP s ous
Wheezy avec le TLS activé. Et si oui, j'aimerai avoir la démarche ou un
lien vers le tuto qu'il a suivi.



Entre temps, je vais jetter un coup d'oeil sur Apache Directory Server.
Quelqu'un a un retour d'expérience dessus?




--001a113321de51b34e04e266a567
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<div dir="ltr">Bonjour,<div><br></div><div><div>J&#39;ai déjà ensuite à plusieurs reprise des serveurs OpenLDAP avec TLS.</div><div>En effet j e me suis heurté à quelques difficultés pour la création des certif icats.</div>
<div><br></div><div><br></div><div>Tout d&#39;abord tu peux vérifié ave c quoi OpenLDAP à été compilé, pour cela :</div><div>     # l dd /usr/sbin/slapd</div><div>et vérifier la présence de la ligne suivan t :</div>
<div>     libgnutls.so.26 =&gt; /usr/lib/libgnutls.so.26<br></div>< div><br></div><div>Si t&#39;elle est le cas, tu dois bien utilisé gnutls. </div><div><br></div><div><br></div>
<div>Pour l&#39;autorité de certification :</div><div><br></div><div>1 - Commencé par créer la clé privée pour le certificat auto-signé :< /div><div>      # certtool --generate-privkey &gt; /etc/ssl/private/c akey.pem<br>
</div><div><br></div><div>2 - Créer un fichier de paramétrage :</div><d iv>      # vim /etc/ssl/<a href="http://ca.info&quot; target="_blank"> ca.info</a></div><div><br></div><div>Avec les données suivantes à adapt er bien sur :</div>

<div><div>      cn = Ma boite</div><div>      ca </div><div >      cert_signing_key</div><div><br></div><div>3 - Ensuite il faut créer le certificat auto-signé comme suivant :</div><div>      ce rttool --generate-self-signed --load-privkey /etc/ssl/private/cakey.pem --t emplate /etc/ssl/<a href="http://ca.info&quot;>ca.info</a> --outfile /etc/ssl/ certs/cacert.pem<br>

</div></div><div><br></div><div>Tu obtiens le certificat auto-signé de l& #39;autorité de certificat !</div></div><div><br></div><div><br></div><di v>Il faut ensuite créer les certificats pour chaque serveur (provider et consumer) comme cela :</div>

<div><br></div><div><div>1 - Génération de la clé privée pour le se rveur :</div><div>      # certtool --generate-privkey &gt; /etc/ssl/p rivate/debian-LDAP1_slapd_key.pem</div><div><br></div><div>
2 - Création du fichier d&#39;information avec les paramètres suivants :</div><div>      # vim /etc/ssl/debian-LDAP1.info</div>














<div><br></div><div>organization = Example Company</div><div>     c n = <a href="http://debian-LDAP1.ma-boite.fr">debian-LDAP1.ma-boite.fr&lt; /a> </div><div>     tls_www_server</div><div>     encryption_ key </div><div>     signing_key</div>

<div><br></div><div>3 - Générer le certificat du serveur :</div><div><d iv>      # certtool --generate-certificate --load-privkey /etc/ssl/pr ivate/debian-LDAP1_slapd_key.pem --load-ca-certificate /etc/ssl/certs/cacer t.pem --load-ca-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/debi an-LDAP1.info --outfile /etc/ssl/certs/debian-LDAP1_slapd_cert.pem</div>

<div><br></div></div><div style><br></div></div><div style>Il faut faire bi en vérifier que OpenLDAP à les droits sur les certificats, sinon le d émon ne démarrera pas:</div><div style>Exemple de droits :</div><div st yle><br>
</div><div style><div>     # chgrp openldap /etc/ssl/certs/cacert.pem </div><div>     # chmod 750 /etc/ssl/certs/cacert.pem</div><div>     # chgrp openldap /etc/ssl/certs/debian-LDAP1_slapd_cert.pem</div><di v>     # chmod 750 /etc/ssl/certs/debian-LDAP1_slapd_cert.pem</div>
<div>     # chgrp openldap /etc/ssl/private/debian-LDAP1_slapd_key.pe m</div><div>     # chmod 750 /etc/ssl/private/debian-LDAP1_slapd_key. pem</div><div><br></div></div><div class="gmail_extra" style>Pour finir d ans ta config LDAP, il te faut renseigner les paramètres suivants:</div>
<div class="gmail_extra" style><div class="gmail_extra"><br></div><div class="gmail_extra"># TLS/SSL</div><div class="gmail_extra">      TLSCiphersuite SECURE256:!AES-128-CBC</div><div class="gmail_extra">     TLSCACertificateFile /etc/ssl/certs/cacert.pem</div>
<div class="gmail_extra">     TLSCertificateFile /etc/ssl/certs/deb ian-LDAP1_slapd_cert.pem</div><div class="gmail_extra">     TLSCert ificateKeyFile /etc/ssl/private/debian-LDAP1_slapd_key.pem</div><div><br></ div><div><br>
</div><div style>Si tous est bien en place, tu devras voir dans les logs de s lignes comme celle-ci :</div><div style><div>     Jul 26 11:10:50 l dap01-v slapd[8339]: conn866 op=0 STARTTLS</div><div>     Jul 26 11:10:50 ldap01-v slapd[8339]: conn866 op=0 RESULT oid= err=0 text=</div>
<div>     Jul 26 11:10:50 ldap01-v slapd[8339]: conn866 fd7 TLS established tls_ssf%6 ssf%6</div></div></div><div class="gmai l_extra" style><br></div><div class="gmail_extra"><div><br>Steven <br></d iv>
<br><br><div class="gmail_quote">Le 25 juillet 2013 13:22, YOUNOUSS Abba Soungui <span dir="ltr">&lt;<a href="mailto:" target= "_blank"></a>&gt;</span> a écrit :<br><blockquote class ="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;bo rder-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<u></u>
<div style="font-family:&#39;DejaVu Sans Mono&#39;;font-size:9pt;font-wei ght:400;font-style:normal">
<p style="margin:0px;text-indent:0px">Bonjour,</p>
<p style="margin:0px;text-indent:0px"> </p>
<p style="margin:0px;text-indent:0px">J&#39;essaye de mettre en place un serveur LDAP sous Wheezy, l&#39;installation se passe problème, mais quan d j&#39;essaye d&#39;activer le chiffrement par SSL/TLS, ça ne marche pas . J&#39;ai suivi un tas de tutos sur le net, mais aucun n&#39;a fonctionn é.</p>


<p style="margin:0px;text-indent:0px">D&#39;après ce que j&#39;ai lu, D ebian a compilé OpenLDAP en utilisant GnuTLS au lieu de OpenSSL sur lesqu els sont basés la majorité des tutos sur le net. J&#39;ai aussi essay é de générer des certificats autosigné avec Certtool (GNUTLS) et m ême d&#39;installer au CA sur mon serveur pour certifier les certificats, mais aucune de ces tentatives n&#39;a marché.</p>


<p style="margin:0px;text-indent:0px">J&#39;aimerai savoir si quelqu&#39; un a réussi à faire fonctionner OpenLDAP sous Wheezy avec le TLS activ é. Et si oui, j&#39;aimerai avoir la démarche ou un lien vers le tuto q u&#39;il a suivi.</p>


<p style="margin:0px;text-indent:0px"> </p>
<p style="margin:0px;text-indent:0px">Entre temps, je vais jetter un coup d&#39;oeil sur Apache Directory Server. Quelqu&#39;un a un retour d&#39;ex périence dessus?</p>
</div></blockquote></div><br></div></div>

--001a113321de51b34e04e266a567--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CALbQ=kjfyxREVXMOXWH7Kn2Ov2dnUkF0jqb45H=U3hKj=
Avatar
YOUNOUSS Abba Soungui
--Boundary-01=_hZo8RO9TsU7iY0Y
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Rebonjour Steve,

J'avais suivi pratiquement la même procédure lors de mes premières te ntatives, à
une exception près, je n'utilisais pas les fichiers de paramètrage, mai s je
renseignais les informations lors de la génération des certificats. App arement
je ne choisissais pas les bonnes options.
Maintenant ca marche et je peux faire autre chose de mon week-end.

Merci.

--Boundary-01=_hZo8RO9TsU7iY0Y
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN" "http://www.w3.org/TR/REC- html40/strict.dtd">
<html><head><meta name="qrichtext" content="1" /><style type="text/cs s">
p, li { white-space: pre-wrap; }
</style></head><body style=" font-family:'DejaVu Sans Mono'; font-size:9p t; font-weight:400; font-style:normal;">
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Rebonjour S teve,</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">J'avais sui vi pratiquement la même procédure lors de mes premières tentatives, à une exception près, je n'utilisais pas les fichiers de paramètrage, mais je renseignais les informations lors de la génération des certifi cats. Apparement je ne choisissais pas les bonnes options.</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Maintenant ca marche et je peux faire autre chose de mon week-end.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Merci.</p>< /body></html>
--Boundary-01=_hZo8RO9TsU7iY0Y--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/