Wheezy+OpenLDAP+SSL/TLS

Le
YOUNOUSS Abba Soungui
--Boundary-01=_EqQ8Re7WsBwFbyL
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'essaye de mettre en place un serveur LDAP sous Wheezy, l'installation se =
passe
problème, mais quand j'essaye d'activer le chiffrement par SSL/TLS, ça =
ne marche
pas. J'ai suivi un tas de tutos sur le net, mais aucun n'a fonctionné.
D'après ce que j'ai lu, Debian a compilé OpenLDAP en utilisant GnuTLS a=
u lieu de
OpenSSL sur lesquels sont basés la majorité des tutos sur le net. J'ai =
aussi
essayé de générer des certificats autosigné avec Certtool (GNUTLS) =
et même
d'installer au CA sur mon serveur pour certifier les certificats, mais aucu=
ne de
ces tentatives n'a marché.
J'aimerai savoir si quelqu'un a réussi à faire fonctionner OpenLDAP sou=
s Wheezy
avec le TLS activé. Et si oui, j'aimerai avoir la démarche ou un lien v=
ers le
tuto qu'il a suivi.

Entre temps, je vais jetter un coup d'oeil sur Apache Directory Server.
Quelqu'un a un retour d'expérience dessus?

--Boundary-01=_EqQ8Re7WsBwFbyL
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN" "http://www.w3.org/TR/REC-=
html40/strict.dtd">
<html><head><meta name="qrichtext" content="1" /><style type="text/cs=
s">
p, li { white-space: pre-wrap; }
</style></head><body style=" font-family:'DejaVu Sans Mono'; font-size:9p=
t; font-weight:400; font-style:normal;">
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Bonjour,</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">J'essaye de=
mettre en place un serveur LDAP sous Wheezy, l'installation se passe probl=
ème, mais quand j'essaye d'activer le chiffrement par SSL/TLS, ça ne ma=
rche pas. J'ai suivi un tas de tutos sur le net, mais aucun n'a fonctionn=
é.</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">D'après c=
e que j'ai lu, Debian a compilé OpenLDAP en utilisant GnuTLS au lieu de O=
penSSL sur lesquels sont basés la majorité des tutos sur le net. J'ai a=
ussi essayé de générer des certificats autosigné avec Certtool (GNU=
TLS) et même d'installer au CA sur mon serveur pour certifier les certifi=
cats, mais aucune de ces tentatives n'a marché.</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">J'aimerai s=
avoir si quelqu'un a réussi à faire fonctionner OpenLDAP sous Wheezy av=
ec le TLS activé. Et si oui, j'aimerai avoir la démarche ou un lien ver=
s le tuto qu'il a suivi.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Entre temps=
, je vais jetter un coup d'oeil sur Apache Directory Server. Quelqu'un a un=
retour d'expérience dessus?</p></body></html>
--Boundary-01=_EqQ8Re7WsBwFbyL--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201307251222.44331.yasalos@yahoo.fr
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Steven D
Le #25565182
--001a113321de51b34e04e266a567
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'ai déjà ensuite à plusieurs reprise des serveurs OpenLDAP avec TLS.
En effet je me suis heurté à quelques difficultés pour la création des
certificats.


Tout d'abord tu peux vérifié avec quoi OpenLDAP à été compilé, pour cela :
# ldd /usr/sbin/slapd
et vérifier la présence de la ligne suivant :
libgnutls.so.26 => /usr/lib/libgnutls.so.26

Si t'elle est le cas, tu dois bien utilisé gnutls.


Pour l'autorité de certification :

1 - Commencé par créer la clé privée pour le certificat auto-sign é :
# certtool --generate-privkey > /etc/ssl/private/cakey.pem

2 - Créer un fichier de paramétrage :
# vim /etc/ssl/ca.info

Avec les données suivantes à adapter bien sur :
cn = Ma boite
ca
cert_signing_key

3 - Ensuite il faut créer le certificat auto-signé comme suivant :
certtool --generate-self-signed --load-privkey
/etc/ssl/private/cakey.pem --template /etc/ssl/ca.info --outfile
/etc/ssl/certs/cacert.pem

Tu obtiens le certificat auto-signé de l'autorité de certificat !


Il faut ensuite créer les certificats pour chaque serveur (provider et
consumer) comme cela :

1 - Génération de la clé privée pour le serveur :
# certtool --generate-privkey >
/etc/ssl/private/debian-LDAP1_slapd_key.pem

2 - Création du fichier d'information avec les paramètres suivants :
# vim /etc/ssl/debian-LDAP1.info

organization = Example Company
cn = debian-LDAP1.ma-boite.fr
tls_www_server
encryption_key
signing_key

3 - Générer le certificat du serveur :
# certtool --generate-certificate --load-privkey
/etc/ssl/private/debian-LDAP1_slapd_key.pem --load-ca-certificate
/etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem
--template /etc/ssl/debian-LDAP1.info --outfile
/etc/ssl/certs/debian-LDAP1_slapd_cert.pem


Il faut faire bien vérifier que OpenLDAP à les droits sur les certifica ts,
sinon le démon ne démarrera pas:
Exemple de droits :

# chgrp openldap /etc/ssl/certs/cacert.pem
# chmod 750 /etc/ssl/certs/cacert.pem
# chgrp openldap /etc/ssl/certs/debian-LDAP1_slapd_cert.pem
# chmod 750 /etc/ssl/certs/debian-LDAP1_slapd_cert.pem
# chgrp openldap /etc/ssl/private/debian-LDAP1_slapd_key.pem
# chmod 750 /etc/ssl/private/debian-LDAP1_slapd_key.pem

Pour finir dans ta config LDAP, il te faut renseigner les paramètres
suivants:

# TLS/SSL
TLSCiphersuite SECURE256:!AES-128-CBC
TLSCACertificateFile /etc/ssl/certs/cacert.pem
TLSCertificateFile /etc/ssl/certs/debian-LDAP1_slapd_cert.pem
TLSCertificateKeyFile /etc/ssl/private/debian-LDAP1_slapd_key.pem


Si tous est bien en place, tu devras voir dans les logs des lignes comme
celle-ci :
Jul 26 11:10:50 ldap01-v slapd[8339]: conn866 op=0 STARTTLS
Jul 26 11:10:50 ldap01-v slapd[8339]: conn866 op=0 RESULT oid =
err=0 text=
Jul 26 11:10:50 ldap01-v slapd[8339]: conn866 fd7 TLS establi shed
tls_ssf%6 ssf%6


Steven


Le 25 juillet 2013 13:22, YOUNOUSS Abba Soungui
**

Bonjour,



J'essaye de mettre en place un serveur LDAP sous Wheezy, l'installation s e
passe problème, mais quand j'essaye d'activer le chiffrement par SSL/TL S,
ça ne marche pas. J'ai suivi un tas de tutos sur le net, mais aucun n'a
fonctionné.

D'après ce que j'ai lu, Debian a compilé OpenLDAP en utilisant GnuTLS au
lieu de OpenSSL sur lesquels sont basés la majorité des tutos sur le net.
J'ai aussi essayé de générer des certificats autosigné avec Certt ool
(GNUTLS) et même d'installer au CA sur mon serveur pour certifier les
certificats, mais aucune de ces tentatives n'a marché.

J'aimerai savoir si quelqu'un a réussi à faire fonctionner OpenLDAP s ous
Wheezy avec le TLS activé. Et si oui, j'aimerai avoir la démarche ou un
lien vers le tuto qu'il a suivi.



Entre temps, je vais jetter un coup d'oeil sur Apache Directory Server.
Quelqu'un a un retour d'expérience dessus?




--001a113321de51b34e04e266a567
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<div><br></div><div><br></div><div>Tout d&#39;abord tu peux vérifié ave c quoi OpenLDAP à été compilé, pour cela :</div><div>     # l dd /usr/sbin/slapd</div><div>et vérifier la présence de la ligne suivan t :</div>


</div></div><div><br></div><div>Tu obtiens le certificat auto-signé de l& #39;autorité de certificat !</div></div><div><br></div><div><br></div><di v>Il faut ensuite créer les certificats pour chaque serveur (provider et consumer) comme cela :</div>

2 - Création du fichier d&#39;information avec les paramètres suivants :















<div><br></div></div><div style><br></div></div><div style>Il faut faire bi en vérifier que OpenLDAP à les droits sur les certificats, sinon le d émon ne démarrera pas:</div><div style>Exemple de droits :</div><div st yle><br>
</div><div style>Si tous est bien en place, tu devras voir dans les logs de s lignes comme celle-ci :</div><div style><div>     Jul 26 11:10:50 l dap01-v slapd[8339]: conn866 op=0 STARTTLS</div><div>     Jul 26 11:10:50 ldap01-v slapd[8339]: conn866 op=0 RESULT oid= err=0 text=</div>
<div>     Jul 26 11:10:50 ldap01-v slapd[8339]: conn866 fd7 TLS established tls_ssf%6 ssf%6</div></div></div><div class="gmai l_extra" style><br></div><div class="gmail_extra"><div><br>Steven <br></d iv>

<u></u>
<div style="font-family:&#39;DejaVu Sans Mono&#39;;font-size:9pt;font-wei ght:400;font-style:normal">
<p style="margin:0px;text-indent:0px">Bonjour,</p>
<p style="margin:0px;text-indent:0px"> </p>






<p style="margin:0px;text-indent:0px"> </p>
</div></blockquote></div><br></div></div>

--001a113321de51b34e04e266a567--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CALbQ=kjfyxREVXMOXWH7Kn2Ov2dnUkF0jqb45H=U3hKj=
YOUNOUSS Abba Soungui
Le #25565562
--Boundary-01=_hZo8RO9TsU7iY0Y
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Rebonjour Steve,

J'avais suivi pratiquement la même procédure lors de mes premières te ntatives, à
une exception près, je n'utilisais pas les fichiers de paramètrage, mai s je
renseignais les informations lors de la génération des certificats. App arement
je ne choisissais pas les bonnes options.
Maintenant ca marche et je peux faire autre chose de mon week-end.

Merci.

--Boundary-01=_hZo8RO9TsU7iY0Y
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<html><head><meta name="qrichtext" content="1" /><style type="text/cs s">
p, li { white-space: pre-wrap; }
</style></head><body style=" font-family:'DejaVu Sans Mono'; font-size:9p t; font-weight:400; font-style:normal;">
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Rebonjour S teve,</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
--Boundary-01=_hZo8RO9TsU7iY0Y--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme