J'ai un problème pour l'utilisation de SSL/TLS lors de
l'authentification de clients linux (knoppix 3.6) sur un serveur LDAP
(OpenLDAP2.1.4).
En fait, tant que je n'utilise pas SSL, tout se passe bien.
A partir du moment ou SSL est activé, le serveur continue à fonctionner
("id mmm" -où mmm est un UID définit sur l'annuaire LDAP- me renvoie une
réponse positive)
Mais il m'est impossible de me connecter avec cette utilisateur sur un
Client. De même, toujours sur ce client, "id mmm" me dit que
l'utilisateur n'existe pas.
Sur mon client, /var/log/auth me dit:
| Dec 10 09:58:30 monpc login[924]: pam_ldap: ldap_simple_bind Can't
contact LDAP server
| Dec 10 09:58:30 monpc login[924]: nss_ldap: could not connect to any
LDAP server as cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr - Can't contact
LDAP server
| Dec 10 09:58:30 monpc last message repeated 3 times
| Dec 10 09:58:30 monpc login[924]: (pam_unix) check pass; user unknown
| Dec 10 09:58:30 monpc login[924]: (pam_unix) authentication failure;
logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost=
Et sur le serveur j'ai seulement:
| Dec 10 11:01:29 borea slapd[7365]: daemon: conn=3 fd=14 connection
from IP=10.23.1.24:33199 (IP=0.0.0.0:636) accepted.
| Dec 10 11:01:29 borea slapd[7365]: conn=3 fd=14 closed
Aucun BIND... (NB: ils ne sont pas à la même heure)
Ceci dit, avec un compte local et l'appli "LDAP Browser", j'arrive bien
à me connecter au serveur LDAP et j'ai bien un BIND:
| Dec 10 11:03:31 borea slapd[7368]: conn=14 op=0 BIND
dn="cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr" method=128
LDAP Browser me demande à la connexion "Do you want to trust the
following CA certificate", je réponds oui, et j'ai accès. Avec le même
binddn (qui est en l'occurence le Manager)
Du coup, je me dis que mon erreur vient de la config de mon Client
Knoppix. Mais à part remplacer l'URI ldap://... en ldaps://... il n'y a
-a priori- rien d'autre à faire.
J'ai quand même précisé le port (636).
Je joins ci-dessous mon ldap.conf qui est symlinké sur
/etc/pam_ldap.conf et /etc/libnss-ldap.conf
Merci pour votre aide.
Anthony
## ldap.conf
host borea.stlo.unicaen.fr
uri ldaps://borea.stlo.unicaen.fr
base o=iut,dc=stlo,dc=unicaen,dc=fr
ldap_version 3
port 636
# Pas de binddn -> donc en anonyme
#binddn cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr
#bindpw secret
#rootbinddn cn=Manager,o=iut,dc=stlo,dc=unicaen,dc=fr
# Pour un bon filtre de recherche:
#----------------------------------
# Definit l'attribut contenant le login (defaut: uid)
pam_login_attribute uid
# Filtre a utiliser pour et avec pam_login_attribute
pam_filter objectClass=posixAccount
nss_base_passwd ou=People,o=iut,dc=stlo,dc=unicaen,dc=fr?one
nss_base_shadow ou=People,o=iut,dc=stlo,dc=unicaen,dc=fr?one
nss_base_group ou=Group,o=iut,dc=stlo,dc=unicaen,dc=fr?one
pam_password crypt
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je pense avoir résolu le problème... Bizarrement, en plus de l'URI, il semble qu'un ssl on soit nécessaire dans le ldap.conf (?)
Anthony
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sébastien GALLET
Anthony PAUL a écrit :
Je pense avoir résolu le problème... Bizarrement, en plus de l'URI, il semble qu'un ssl on
Merci beaucoup ... tu viens de résoudre aussi un problème que je traine depuis quelques temps.:)) A l'époque j'avais lachement anbandonné. Je te confirme : avec ssl on, ça marche mieux
soit nécessaire dans le ldap.conf (?)
Anthony
Sébastien
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Anthony PAUL a écrit :
Je pense avoir résolu le problème...
Bizarrement, en plus de l'URI, il semble qu'un
ssl on
Merci beaucoup ... tu viens de résoudre aussi un problème que je traine
depuis quelques temps.:)) A l'époque j'avais lachement anbandonné.
Je te confirme : avec ssl on, ça marche mieux
soit nécessaire dans le ldap.conf (?)
Anthony
Sébastien
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je pense avoir résolu le problème... Bizarrement, en plus de l'URI, il semble qu'un ssl on
Merci beaucoup ... tu viens de résoudre aussi un problème que je traine depuis quelques temps.:)) A l'époque j'avais lachement anbandonné. Je te confirme : avec ssl on, ça marche mieux
soit nécessaire dans le ldap.conf (?)
Anthony
Sébastien
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Anthony PAUL
Sébastien GALLET wrote:
Merci beaucoup ... tu viens de résoudre aussi un problème que je traine depuis quelques temps.:)) A l'époque j'avais lachement anbandonné. Je te confirme : avec ssl on, ça marche mieux
Ca fait plaisir de voir que je n'ai pas posté pour rien :)
J'en profite pour poser une petite question HS: Y a-t-il un endroit où je pourrais trouver une définition des différents attirbuts? (je veux dire, à part lire les RFC une à une...)
Parce que par exemple, dans la classe d'objets inetOrgPerson, il y a des attributs comme "audio" ou "allows" dont je voudrais savoir la signification ou bien la différence entre "photo" et "jpegphoto"..
Anthony
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sébastien GALLET wrote:
Merci beaucoup ... tu viens de résoudre aussi un problème que je traine
depuis quelques temps.:)) A l'époque j'avais lachement anbandonné.
Je te confirme : avec ssl on, ça marche mieux
Ca fait plaisir de voir que je n'ai pas posté pour rien :)
J'en profite pour poser une petite question HS: Y a-t-il un endroit où
je pourrais trouver une définition des différents attirbuts? (je veux
dire, à part lire les RFC une à une...)
Parce que par exemple, dans la classe d'objets inetOrgPerson, il y a des
attributs comme "audio" ou "allows" dont je voudrais savoir la
signification ou bien la différence entre "photo" et "jpegphoto"..
Anthony
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Merci beaucoup ... tu viens de résoudre aussi un problème que je traine depuis quelques temps.:)) A l'époque j'avais lachement anbandonné. Je te confirme : avec ssl on, ça marche mieux
Ca fait plaisir de voir que je n'ai pas posté pour rien :)
J'en profite pour poser une petite question HS: Y a-t-il un endroit où je pourrais trouver une définition des différents attirbuts? (je veux dire, à part lire les RFC une à une...)
Parce que par exemple, dans la classe d'objets inetOrgPerson, il y a des attributs comme "audio" ou "allows" dont je voudrais savoir la signification ou bien la différence entre "photo" et "jpegphoto"..
Anthony
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sébastien GALLET
Anthony PAUL a écrit :
J'en profite pour poser une petite question HS: Y a-t-il un endroit où je pourrais trouver une définition des différents attirbuts? (je veux dire, à part lire les RFC une à une...)
Dans les schemas (/etc/ldap/schema), tu as une description succinte des attributs.
Parce que par exemple, dans la classe d'objets inetOrgPerson, il y a des attributs comme "audio" ou "allows" dont je voudrais savoir la
par exemple : # 9.3.45. Audio # # The Audio attribute type allows the storing of sounds in the # Directory. The attribute uses a u-law encoded sound file as used by # the "play" utility on a Sun 4. This is an interim format. # # audio ATTRIBUTE # WITH ATTRIBUTE-SYNTAX # Audio # (SIZE (1 .. ub-audio)) # ::= {pilotAttributeType 55} # attributetype ( 0.9.2342.19200300.100.1.55 NAME 'audio' DESC 'RFC1274: audio (u-law)' SYNTAX 1.3.6.1.4.1.1466.115.121.1.4{25000} )
signification ou bien la différence entre "photo" et "jpegphoto"..
Anthony
Sebastien
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Anthony PAUL a écrit :
J'en profite pour poser une petite question HS: Y a-t-il un endroit où
je pourrais trouver une définition des différents attirbuts? (je veux
dire, à part lire les RFC une à une...)
Dans les schemas (/etc/ldap/schema), tu as une description succinte des
attributs.
Parce que par exemple, dans la classe d'objets inetOrgPerson, il y a des
attributs comme "audio" ou "allows" dont je voudrais savoir la
par exemple :
# 9.3.45. Audio
#
# The Audio attribute type allows the storing of sounds in the
# Directory. The attribute uses a u-law encoded sound file as used by
# the "play" utility on a Sun 4. This is an interim format.
#
# audio ATTRIBUTE
# WITH ATTRIBUTE-SYNTAX
# Audio
# (SIZE (1 .. ub-audio))
# ::= {pilotAttributeType 55}
#
attributetype ( 0.9.2342.19200300.100.1.55 NAME 'audio'
DESC 'RFC1274: audio (u-law)'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.4{25000} )
signification ou bien la différence entre "photo" et "jpegphoto"..
Anthony
Sebastien
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'en profite pour poser une petite question HS: Y a-t-il un endroit où je pourrais trouver une définition des différents attirbuts? (je veux dire, à part lire les RFC une à une...)
Dans les schemas (/etc/ldap/schema), tu as une description succinte des attributs.
Parce que par exemple, dans la classe d'objets inetOrgPerson, il y a des attributs comme "audio" ou "allows" dont je voudrais savoir la
par exemple : # 9.3.45. Audio # # The Audio attribute type allows the storing of sounds in the # Directory. The attribute uses a u-law encoded sound file as used by # the "play" utility on a Sun 4. This is an interim format. # # audio ATTRIBUTE # WITH ATTRIBUTE-SYNTAX # Audio # (SIZE (1 .. ub-audio)) # ::= {pilotAttributeType 55} # attributetype ( 0.9.2342.19200300.100.1.55 NAME 'audio' DESC 'RFC1274: audio (u-law)' SYNTAX 1.3.6.1.4.1.1466.115.121.1.4{25000} )
signification ou bien la différence entre "photo" et "jpegphoto"..
Anthony
Sebastien
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
