[LENNY] Authentification LDAP en TLS sur Apache

--001485f772b853d51f04684b8e96
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Tout d'abord merci pour ta réponse.

1/ Je pense que les modules sont bien chargés ; en tout cas le
/etc/apache2/apache2.conf contient la directive
Include /etc/apache2/mods-enabled/*.load
qui inclut tous les fichiers .load de /etc/apache2/mods-enabled/ parmi
lesquels on trouve :
ldap.load qui contient LoadModule ldap_module
/usr/lib/apache2/modules/mod_ldap.so
et authnz_ldap.load qui contient LoadModule authnz_ldap_module
/usr/lib/apache2/modules/mod_authnz_ldap.so
Je pense que c'est suffisant pour pouvoir dire que les modules sont charg és
non ? Ou bien il y a un autre moyen de le vérifier (en interrogeant le
serveur en fonction par exemple ?)

2/ J'ai oublié de le préciser, mais oui, bien sûr, mon serve ur LDAP accepte
les connections TLS
Par exemple, quand je tape la commande :
ldapsearch -x *-ZZ* -H ldap://xxx.ups-tlse.fr -D
"cn=admin,dc=xxx,dc=ups-tlse,dc=fr" -b
"ou=Users,ou=People,dc=xxx,dc=ups-tlse,dc=fr" -W

Aux niveaux des logs, j'obtiens :
slapd[18327]: conn=0 fd=13 ACCEPT from IP=130.120.xxx.xxx:41224
(IP=130.120.xxx.xxx:389)
slapd[18327]: conn=0 op=0 EXT oid=1.3.6.1.4.1.1466.20037
slapd[18327]: conn=0 op=0 *STARTTLS*

slapd[18327]: conn=0 op=0 RESULT oid= err=0 text=
slapd[18327]: conn=0 fd=13 *TLS established* tls_ssf=128 ssf=128
slapd[18327]: conn=0 op=1 BIND dn="cn=admin,dc=xxx,dc=ups-tlse ,dc=fr"
method=128

slapd[18327]: conn=0 op=1 BIND dn="cn=admin,dc=xxx,dc=ups-tlse ,dc=fr"
mech=SIMPLE ssf=0
slapd[18327]: conn=0 op=1 RESULT tag=97 err=0 text=
slapd[18327]: conn=0 op=2 SRCH
base="ou=Users,ou=People,dc=xxx,dc=ups-tlse,dc=fr" scope=2 de ref=0
filter="(objectClass=*)"

slapd[18327]: conn=0 op=2 SEARCH RESULT tag=101 err=0 nentries=3 1 text=
slapd[18327]: conn=0 op=3 UNBIND
slapd[18327]: conn=0 fd=13 closed

Au niveau du point 3/ de ta réponse, je ne suis pas sûr d'avoir compris la
chose à essayer ; mais en lisant l'exemple que tu retranscris et sur l equel
je me suis aussi appuyé pour établir ma config, je vois que tu me ts en avant
l'ajout de l'option TLS à la fin de la ligne AuthLDAPURL. Si j'ai bien lu la
doc, cette option ne sert qu'à surcharger la directive LDAPTrustedMode que
j'ai bien mis à TLS. Ou alors, il y a quelque chose qui m'a échap pé :-(.
Quoi qu'il en soit, ça ne marche pas, que je mettes TLS dans l'un ou
l'autre, ni même aux deux endroits.

Ce qui m'inquiète le plus c'est qu'il m'affiche une internal server er ror au
lieu d'une authentification failed qui me paraîtraît de meilleur aloi.

En tout cas merci de te pencher sur mon problème. Je suis à l'à ©coute de
toutes les idées qui pourraient me sortir de cette impasse.

jMax


2009/4/23 Tan.N <axaly@yahoo.fr>

1/ A vérifier si les modules mod_ldap et mod_authnz_ldap sont charg és dans
apache.

2/ Petite question : ton serveur Ldap accepte-t-il les connexions TLS ?

3/ A essayer :
D'après la doc d'Apache :
http://httpd.apache.org/docs/2.2/mod/mod_ldap.html#usingssltls

**********
The ability to create an SSL and TLS connections to an LDAP server is
defined by the directives LDAPTrustedGlobalCert<http://httpd.apache.org/d ocs/2.2/mod/mod_ldap.html#%20%20%20%20ldaptrustedglobalcert>,
LDAPTrustedClientCert<http://httpd.apache.org/docs/2.2/mod/mod_ldap.html# %20%20%20%20ldaptrustedclientcert>and
LDAPTrustedMode<http://httpd.apache.org/docs/2.2/mod/mod_ldap.html#%20%20 %20%20ldaptrustedmode>.
These directives specify the CA and optional client certificates to be us ed,
as well as the type of encryption to be used on the connection (none, SSL or
TLS/STARTTLS).

# Establish an SSL LDAP connection on port 636. Requires that
# mod_ldap and mod_authnz_ldap be loaded. Change the
# "yourdomain.example.com" to match your domain.

LDAPTrustedGlobalCert CA_DER /certs/certfile.der

<Location /ldap-status>
SetHandler ldap-status
Order deny,allow
Deny from all
Allow from yourdomain.example.com
AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
AuthzLDAPAuthoritative off
Require valid-user
</Location>

# Establish a TLS LDAP connection on port 389. Requires that
# mod_ldap and mod_authnz_ldap be loaded. Change the
# "yourdomain.example.com" to match your domain.

LDAPTrustedGlobalCert CA_DER /certs/certfile.der

<Location /ldap-status>
SetHandler ldap-status
Order deny,allow
Deny from all
Allow from yourdomain.example.com
AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one *TLS*
AuthzLDAPAuthoritative off
Require valid-user
</Location>
***********

Jean-Max Redonnet a écrit :

Bonjour,

Malgré tous mes efforts, multiples et répétés, je ne parviens
définitivement pas à configurer l'authentification LDAP en TLS sur mon
serveur Apache2.2.

Voilà ce que j'ai mis dans le /etc/apache2/ports.conf inclus dans
/etc/apache2/apache2.conf

LDAPTrustedGlobalCert CA_BASE64 /etc/ssl/cacert.pem

<VirtualHost 130.120.xxx.xxx:80>

LDAPTrustedClientCert CERT_BASE64 /etc/ssl/certs/xxx.ups-tlse.fr.crt
LDAPTrustedClientCert KEY_BASE64 /etc/ssl/private/xxx.ups-tlse.fr.key
LDAPTrustedMode TLS

<Location /ldap-status>
SetHandler ldap-status
order deny,allow
allow from xxx.ups-tlse.fr
allow from xxx.ups-tlse.fr
AuthType basic
AuthName "Auth LDAP"
AuthBasicProvider ldap
AuthLDAPURL ldap://
xxx.ups-tlse.fr/ou=Users,ou=People,dc=xxx,dc=ups-tlse,dc=fr?uid
AuthzLDAPAuthoritative off
require valid-user
</Location>

</VirtualHost>

OpenLDAP est installé et marche bien. Apache idem.
Mes certificats sont bons (je les utilise par ailleurs avec succès).

Je ne vois pas d'où peut venir le problème. Alors avant de swit cher vers le
module d'authentification via PAM (qui comble de l'ironie utilise LDAP av ec
bonheur), je m'en remet aux gens qui savent...

Dans la doc d'Apache, j'ai trouvé ça :
"The documentation for the SDK claims to support both SSL and STARTTLS,
however STARTTLS does not seem to work on all versions of the SDK. The
SSL/TLS mode can be set using the LDAPTrustedMode parameter. If an ldaps: //
URL is specified, SSL mode is forced. The OpenLDAP documentation notes th at
SSL (ldaps://) support has been deprecated to be replaced with TLS, altho ugh
the SSL functionality still works."
Alors, je me dis que je suis peut-être pas le seul à rencontrer des
problèmes...

Si vous avez des retours d'expérience ou des suggestions, je suis to ut ouï

Merci d'avance.

jMax

--001485f772b853d51f04684b8e96
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<div class="gmail_quote">Tout d&#39;abord merci pour ta réponse.<br> <br>1/ Je pense que les modules sont bien chargés ; en tout cas le /et c/apache2/apache2.conf contient la directive <br>Include /etc/apache2/mods- enabled/*.load<br>
qui inclut tous les fichiers .load de /etc/apache2/mods-enabled/ parmi lesq uels on trouve :<br>
    ldap.load qui contient LoadModule ldap_module /usr/lib/a pache2/modules/mod_ldap.so<br>et authnz_ldap.load qui contient LoadModule a uthnz_ldap_module /usr/lib/apache2/modules/mod_authnz_ldap.so<br>Je pense q ue c&#39;est suffisant pour pouvoir dire que les modules sont chargés non ? Ou bien il y a un autre moyen de le vérifier (en interrogeant le serveur en fonction par exemple ?)<br>

<br>2/ J&#39;ai oublié de le préciser, mais oui, bien sûr, m on serveur LDAP accepte les connections TLS<br>Par exemple, quand je tape l a commande :<br>ldapsearch -x <b><span style="color: rgb(255, 102, 102);" >-ZZ</span></b> -H ldap://<a href="http://xxx.ups-tlse.fr" target="_bla nk">xxx.ups-tlse.fr</a> -D &quot;cn=admin,dc=xxx,dc=ups-tlse,dc=fr& quot; -b &quot;ou=Users,ou=People,dc=xxx,dc=ups-tlse,dc=fr&quot; -W <br>

<pre>Aux niveaux des logs, j&#39;obtiens :<br> slapd[18327]: conn=0 fd= 13 ACCEPT from IP=130.120.xxx.xxx:41224 (IP=130.120.xxx.xxx:389) <br> s lapd[18327]: conn=0 op=0 EXT oid=1.3.6.1.4.1.1466.20037 <br> slapd[18 327]: conn=0 op=0 <b><span style="color: rgb(255, 102, 102);">STARTTL S</span></b> <br>

slapd[18327]: conn=0 op=0 RESULT oid= err=0 text= <br> slapd[183 27]: conn=0 fd=13 <b><span style="color: rgb(255, 102, 102);">TLS est ablished</span></b> tls_ssf=128 ssf=128 <br> slapd[18327]: conn=0 op =1 BIND dn=&quot;cn=admin,dc=xxx,dc=ups-tlse,dc=fr&quot; method =128 <br>

slapd[18327]: conn=0 op=1 BIND dn=&quot;cn=admin,dc=xxx,dc=ups -tlse,dc=fr&quot; mech=SIMPLE ssf=0 <br> slapd[18327]: conn=0 op= 1 RESULT tag=97 err=0 text= <br> slapd[18327]: conn=0 op=2 SRCH b ase=&quot;ou=Users,ou=People,dc=xxx,dc=ups-tlse,dc=fr&quot; sco pe=2 deref=0 filter=&quot;(objectClass=*)&quot; <br>

slapd[18327]: conn=0 op=2 SEARCH RESULT tag=101 err=0 nentries=3 1 text= <br> slapd[18327]: conn=0 op=3 UNBIND <br> slapd[18327]: conn =0 fd=13 closed <br></pre>Au niveau du point 3/  de ta répons e, je ne suis pas sûr d&#39;avoir compris la chose à essayer ; ma is en lisant l&#39;exemple que tu retranscris et sur lequel je me suis auss i appuyé pour établir ma config, je vois que tu mets en avant l&# 39;ajout de l&#39;option TLS à la fin de la ligne AuthLDAPURL. Si j&#3 9;ai bien lu la doc, cette option ne sert qu&#39;à surcharger la direc tive LDAPTrustedMode que j&#39;ai bien mis à TLS. Ou alors, il y a que lque chose qui m&#39;a échappé :-(. Quoi qu&#39;il en soit, à §a ne marche pas, que je mettes TLS dans l&#39;un ou l&#39;autre, ni mà ªme aux deux endroits.<br>

<br>Ce qui m&#39;inquiète le plus c&#39;est qu&#39;il m&#39;affiche un e internal server error au lieu d&#39;une authentification failed qui me pa raîtraît de meilleur aloi.<br><br>En tout cas merci de te pencher sur mon problème. Je suis à l&#39;écoute de toutes les id ées qui pourraient me sortir de cette impasse.<br>

<br>jMax<br><br><br><div class="gmail_quote">2009/4/23 Tan.N <span dir= "ltr">&lt;<a href="mailto:axaly@yahoo.fr" target="_blank">axaly@yahoo.f r</a>&gt;</span><div><div></div><div class="h5"><br><blockquote class=" gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0p t 0pt 0pt 0.8ex; padding-left: 1ex;">







<div bgcolor="#ffffff" text="#000000">
<br>
1/ <code>A vérifier si les modules mod_ldap et mod_authnz_ldap sont
chargés dans apache.<br>
<br>
</code>2/ Petite question : ton serveur Ldap accepte-t-il les
connexions TLS ?<br>
<br>
3/ A essayer :<br>
D&#39;après la doc d&#39;Apache : 
<a href="http://httpd.apache.org/docs/2.2/mod/mod_ldap.html#usingssltls" target="_blank">http://httpd.apache.org/docs/2.2/mod/mod_ldap.html#usings sltls</a><br>
<br>
**********<br>
The ability to create an SSL and TLS connections to an LDAP server is
defined by the directives <code><a href="http://httpd.apache.org/docs/2.2 /mod/mod_ldap.html#%20%20%20%20ldaptrustedglobalcert" target="_blank">
LDAPTrustedGlobalCert</a></code>, <code><a href="http://httpd.apache.org/ docs/2.2/mod/mod_ldap.html#%20%20%20%20ldaptrustedclientcert" target="_bl ank">
LDAPTrustedClientCert</a></code> and <code><a href="http://httpd.apache.o rg/docs/2.2/mod/mod_ldap.html#%20%20%20%20ldaptrustedmode" target="_blank ">
LDAPTrustedMode</a></code>. These directives specify the CA and
optional client certificates to be used, as well as the type of
encryption to be used on the connection (none, SSL or TLS/STARTTLS).
<div>
<p><code> # Establish an SSL LDAP connection on port 636. Requires that
<br>
# mod_ldap and mod_authnz_ldap be loaded. Change the <br>
# &quot;<a href="http://yourdomain.example.com" target="_blank">yourdom ain.example.com</a>&quot; to match your domain.<br>
<br>
LDAPTrustedGlobalCert CA_DER /certs/certfile.der<br>
<br>
&lt;Location /ldap-status&gt;<br>
<span> SetHandler ldap-status<br>
Order deny,allow<br>
Deny from all<br>
Allow from <a href="http://yourdomain.example.com" target="_blank">your domain.example.com</a><br>
AuthLDAPURL ldaps://<a href="http://127.0.0.1/dc=example,dc=com?uid?o ne" target="_blank">127.0.0.1/dc=example,dc=com?uid?one</a><br>
AuthzLDAPAuthoritative off<br>
Require valid-user<br>
</span> &lt;/Location&gt; </code></p>
</div>
<div>
<p><code> # Establish a TLS LDAP connection on port 389. Requires that <br>
# mod_ldap and mod_authnz_ldap be loaded. Change the <br>
# &quot;<a href="http://yourdomain.example.com" target="_blank">yourdom ain.example.com</a>&quot; to match your domain.<br>
<br>
LDAPTrustedGlobalCert CA_DER /certs/certfile.der<br>
<br>
&lt;Location /ldap-status&gt;<br>
<span> SetHandler ldap-status<br>
Order deny,allow<br>
Deny from all<br>
Allow from <a href="http://yourdomain.example.com" target="_blank">your domain.example.com</a><br>
AuthLDAPURL <a>ldap://127.0.0.1/dc=example,dc=com?uid?one</a> <font col or="#ff0000"><b>TLS</b></font><br>
AuthzLDAPAuthoritative off<br>
Require valid-user<br>
</span> &lt;/Location&gt; </code></p>
</div>
***********<br>
<br>
Jean-Max Redonnet a écrit :
<div><div></div><div><blockquote type="cite">Bonjour,<br>
<br>
Malgré tous mes efforts, multiples et répétés, je ne pa rviens
définitivement pas à configurer l&#39;authentification LDAP en TL S sur mon
serveur Apache2.2.<br>
<br>
Voilà ce que j&#39;ai mis dans le /etc/apache2/ports.conf inclus dans
/etc/apache2/apache2.conf<br>
<br>
LDAPTrustedGlobalCert CA_BASE64 /etc/ssl/cacert.pem<br>
<br>
&lt;VirtualHost 130.120.xxx.xxx:80&gt;<br>
<br>
    LDAPTrustedClientCert CERT_BASE64 /etc/ssl/certs/xxx.ups -tlse.fr.crt<br>
    LDAPTrustedClientCert KEY_BASE64
/etc/ssl/private/xxx.ups-tlse.fr.key<br>
    LDAPTrustedMode TLS<br>
<br>
    &lt;Location /ldap-status&gt;<br>
        SetHandler ldap-status<br>
        order deny,allow<br>
        allow from <a href="http://xxx .ups-tlse.fr" target="_blank">xxx.ups-tlse.fr</a><br>
        allow from <a href="http://xxx .ups-tlse.fr" target="_blank">xxx.ups-tlse.fr</a><br>
        AuthType basic<br>
        AuthName &quot;Auth LDAP&quot;<b r>
        AuthBasicProvider ldap<br>
        AuthLDAPURL <a>ldap://</a><a hre f="http://xxx.ups-tlse.fr/ou=Users,ou=People,dc=xxx,dc=ups-tlse,d c=fr?uid" target="_blank">xxx.ups-tlse.fr/ou=Users,ou=People,dc=x xx,dc=ups-tlse,dc=fr?uid</a><br>
        AuthzLDAPAuthoritative off<br>
        require valid-user<br>
    &lt;/Location&gt;<br>
<br>
&lt;/VirtualHost&gt;<br>
<br>
OpenLDAP est installé et marche bien. Apache idem.<br>
Mes certificats sont bons (je les utilise par ailleurs avec succès). < br>
<br>
Je ne vois pas d&#39;où peut venir le problème. Alors avant de sw itcher
vers le module d&#39;authentification via PAM (qui comble de l&#39;ironie
utilise LDAP avec bonheur), je m&#39;en remet aux gens qui savent...<br>
<br>
Dans la doc d&#39;Apache, j&#39;ai trouvé ça :<br>
&quot;The documentation for the SDK claims to support both SSL and STARTTLS ,
however STARTTLS does not seem to work on all versions of the SDK. The
SSL/TLS mode can be set using the LDAPTrustedMode parameter. If an
ldaps:// URL is specified, SSL mode is forced. The OpenLDAP
documentation notes that SSL (ldaps://) support has been deprecated to
be replaced with TLS, although the SSL functionality still works.&quot;<br>
Alors, je me dis que je suis peut-être pas le seul à rencontrer d es
problèmes...<br>
<br>
Si vous avez des retours d&#39;expérience ou des suggestions, je suis tout
ouï<br>
<br>
Merci d&#39;avance.<br>
<br>
jMax<br>
<br>
</blockquote>
<br>
</div></div></div>

</blockquote></div></div></div><br>
</div><br>

--001485f772b853d51f04684b8e96--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

--001636c5a3e91300e804684d1ad3
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Whaou ! Ça c'est de la réactivité !

Merci pour la commande a2enmod que je ne connaissait pas...
Quand je tape a2enmod authnz_ldap,
il me réponds
Module ldap already enabled
Module authnz_ldap already enabled

Ils sont donc bien chargés...

Je n'ai pas essayé de faire un test sans cryptage parce que mon serveu r LDAP
ne réponds qu'en crypté (et comme je l'utilise en production pour d'autres
services, j'ai pas trop envie de bricoler sa config... Ceci étant, je
pourrais peut-être essayer pendant le week-end...)

Suite à l'arrivée de ton message pendant la rédaction de cel ui-ci, j'ai
ajouté STARTTLS à la directive AuthLDAPURL... et .... pas mieux : -(...
toujours Internal Server Error.

Le log Apache donne :

[warn] [client 130.120.xxx.xxx] [19769] auth_ldap authenticate: user
xxx authentication failed; URI /ldap-status [LDAP: ldap_start_tls_s()
failed][Connect error]

et sur le syslog, j'ai :

slapd[18327]: conn=252 fd=17 ACCEPT from IP=130.120.xxx.xxx:46943
(IP=130.120.xxx.xxx:389)
slapd[18327]: conn=252 op=0 EXT oid=1.3.6.1.4.1.1466.20037
slapd[18327]: conn=252 op=0 STARTTLS
slapd[18327]: conn=252 op=0 RESULT oid= err=0 text=
slapd[18327]: conn=252 fd=17 closed (TLS negotiation failure)

Ce qui m'indique que la negociation TLS échoue, mais ça je le sav ais déjà...

Je ne vois toujours pas comment m'en sortir :-(

Mais je te remercie de tes efforts pour me venir en aide


Le 24 avril 2009 14:43, Tan.N <axaly@yahoo.fr> a écrit :

Bonjour,

1/ Un bon petit coup de "a2enmod nom-du-module" ne fait pas de mal pour l es
2 modules d'auth ldap
2/ OK pour le TLS si le ldapsearch répond comme il faut
3/ Juste avant de passer en TLS ou SSL, as tu essayé de faire un tes t sans
cryptage ?
Sinon que donne les log d'apache ?

TN


Jean-Max Redonnet a écrit :

Tout d'abord merci pour ta réponse.

1/ Je pense que les modules sont bien chargés ; en tout cas le
/etc/apache2/apache2.conf contient la directive
Include /etc/apache2/mods-enabled/*.load
qui inclut tous les fichiers .load de /etc/apache2/mods-enabled/ parmi
lesquels on trouve :
ldap.load qui contient LoadModule ldap_module
/usr/lib/apache2/modules/mod_ldap.so
et authnz_ldap.load qui contient LoadModule authnz_ldap_module
/usr/lib/apache2/modules/mod_authnz_ldap.so
Je pense que c'est suffisant pour pouvoir dire que les modules sont charg és
non ? Ou bien il y a un autre moyen de le vérifier (en interrogeant le
serveur en fonction par exemple ?)

2/ J'ai oublié de le préciser, mais oui, bien sûr, mon ser veur LDAP accepte
les connections TLS
Par exemple, quand je tape la commande :
ldapsearch -x *-ZZ* -H ldap://xxx.ups-tlse.fr -D
"cn=admin,dc=xxx,dc=ups-tlse,dc=fr" -b
"ou=Users,ou=People,dc=xxx,dc=ups-tlse,dc=fr" -W

Aux niveaux des logs, j'obtiens :
slapd[18327]: conn=0 fd=13 ACCEPT from IP=130.120.xxx.xxx:41224 (I P=130.120.xxx.xxx:389)
slapd[18327]: conn=0 op=0 EXT oid=1.3.6.1.4.1.1466.20037
slapd[18327]: conn=0 op=0 *STARTTLS*


slapd[18327]: conn=0 op=0 RESULT oid= err=0 text=
slapd[18327]: conn=0 fd=13 *TLS established* tls_ssf=128 ssf=128
slapd[18327]: conn=0 op=1 BIND dn="cn=admin,dc=xxx,dc=ups-tl se,dc=fr" method=128


slapd[18327]: conn=0 op=1 BIND dn="cn=admin,dc=xxx,dc=ups-tl se,dc=fr" mech=SIMPLE ssf=0
slapd[18327]: conn=0 op=1 RESULT tag=97 err=0 text=
slapd[18327]: conn=0 op=2 SRCH base="ou=Users,ou=People,dc=x xx,dc=ups-tlse,dc=fr" scope=2 deref=0 filter="(objectClass=*)"


slapd[18327]: conn=0 op=2 SEARCH RESULT tag=101 err=0 nentries =31 text=
slapd[18327]: conn=0 op=3 UNBIND
slapd[18327]: conn=0 fd=13 closed


Au niveau du point 3/ de ta réponse, je ne suis pas sûr d'avoi r compris la
chose à essayer ; mais en lisant l'exemple que tu retranscris et sur lequel
je me suis aussi appuyé pour établir ma config, je vois que tu mets en avant
l'ajout de l'option TLS à la fin de la ligne AuthLDAPURL. Si j'ai bi en lu la
doc, cette option ne sert qu'à surcharger la directive LDAPTrustedMo de que
j'ai bien mis à TLS. Ou alors, il y a quelque chose qui m'a éch appé :-(.
Quoi qu'il en soit, ça ne marche pas, que je mettes TLS dans l'un ou
l'autre, ni même aux deux endroits.

Ce qui m'inquiète le plus c'est qu'il m'affiche une internal server error
au lieu d'une authentification failed qui me paraîtraît de meil leur aloi.

En tout cas merci de te pencher sur mon problème. Je suis à l' écoute de
toutes les idées qui pourraient me sortir de cette impasse.

jMax


2009/4/23 Tan.N <axaly@yahoo.fr>

1/ A vérifier si les modules mod_ldap et mod_authnz_ldap sont charg és
dans apache.

2/ Petite question : ton serveur Ldap accepte-t-il les connexions TLS ?

3/ A essayer :
D'après la doc d'Apache :
http://httpd.apache.org/docs/2.2/mod/mod_ldap.html#usingssltls

**********
The ability to create an SSL and TLS connections to an LDAP server is
defined by the directives LDAPTrustedGlobalCert<http://httpd.apache.org/ docs/2.2/mod/mod_ldap.html#%20%20%20%20ldaptrustedglobalcert>,
LDAPTrustedClientCert<http://httpd.apache.org/docs/2.2/mod/mod_ldap.html #%20%20%20%20ldaptrustedclientcert>and
LDAPTrustedMode<http://httpd.apache.org/docs/2.2/mod/mod_ldap.html#%20%2 0%20%20ldaptrustedmode>.
These directives specify the CA and optional client certificates to be u sed,
as well as the type of encryption to be used on the connection (none, SS L or
TLS/STARTTLS).

# Establish an SSL LDAP connection on port 636. Requires that
# mod_ldap and mod_authnz_ldap be loaded. Change the
# "yourdomain.example.com" to match your domain.

LDAPTrustedGlobalCert CA_DER /certs/certfile.der

<Location /ldap-status>
SetHandler ldap-status
Order deny,allow
Deny from all
Allow from yourdomain.example.com
AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
AuthzLDAPAuthoritative off
Require valid-user
</Location>

# Establish a TLS LDAP connection on port 389. Requires that
# mod_ldap and mod_authnz_ldap be loaded. Change the
# "yourdomain.example.com" to match your domain.

LDAPTrustedGlobalCert CA_DER /certs/certfile.der

<Location /ldap-status>
SetHandler ldap-status
Order deny,allow
Deny from all
Allow from yourdomain.example.com
AuthLDAPURL ldap://127.0.0.1/dc=example,dc=com?uid?one *TLS*
AuthzLDAPAuthoritative off
Require valid-user
</Location>
***********

Jean-Max Redonnet a écrit :

Bonjour,

Malgré tous mes efforts, multiples et répétés, je ne parviens
définitivement pas à configurer l'authentification LDAP en TLS sur mon
serveur Apache2.2.

Voilà ce que j'ai mis dans le /etc/apache2/ports.conf inclus dans
/etc/apache2/apache2.conf

LDAPTrustedGlobalCert CA_BASE64 /etc/ssl/cacert.pem

<VirtualHost 130.120.xxx.xxx:80>

LDAPTrustedClientCert CERT_BASE64 /etc/ssl/certs/xxx.ups-tlse.fr.crt
LDAPTrustedClientCert KEY_BASE64 /etc/ssl/private/xxx.ups-tlse.fr.ke y
LDAPTrustedMode TLS

<Location /ldap-status>
SetHandler ldap-status
order deny,allow
allow from xxx.ups-tlse.fr
allow from xxx.ups-tlse.fr
AuthType basic
AuthName "Auth LDAP"
AuthBasicProvider ldap
AuthLDAPURL ldap://
xxx.ups-tlse.fr/ou=Users,ou=People,dc=xxx,dc=ups-tlse,dc=fr?ui d
AuthzLDAPAuthoritative off
require valid-user
</Location>

</VirtualHost>

OpenLDAP est installé et marche bien. Apache idem.
Mes certificats sont bons (je les utilise par ailleurs avec succès) .

Je ne vois pas d'où peut venir le problème. Alors avant de swi tcher vers
le module d'authentification via PAM (qui comble de l'ironie utilise LDA P
avec bonheur), je m'en remet aux gens qui savent...

Dans la doc d'Apache, j'ai trouvé ça :
"The documentation for the SDK claims to support both SSL and STARTTLS,
however STARTTLS does not seem to work on all versions of the SDK. The
SSL/TLS mode can be set using the LDAPTrustedMode parameter. If an ldaps ://
URL is specified, SSL mode is forced. The OpenLDAP documentation notes t hat
SSL (ldaps://) support has been deprecated to be replaced with TLS, alth ough
the SSL functionality still works."
Alors, je me dis que je suis peut-être pas le seul à rencontre r des
problèmes...

Si vous avez des retours d'expérience ou des suggestions, je suis t out ouï

Merci d'avance.

jMax

--001636c5a3e91300e804684d1ad3
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Whaou ! Ça c&#39;est de la réactivité !<br><br>Merci pour la commande a2enmod  que je ne connaissait pas...<br>Quand je tape a2enm od authnz_ldap, <br>il me réponds <br>Module ldap already enabled<br>M odule authnz_ldap already enabled<br>
<br>Ils sont donc bien chargés...<br><br>Je n&#39;ai pas essayé d e faire un test sans cryptage parce que mon serveur LDAP ne réponds qu &#39;en crypté (et comme je l&#39;utilise en production pour d&#39;aut res services, j&#39;ai pas trop envie de bricoler sa config... Ceci ét ant, je pourrais peut-être essayer pendant le week-end...)<br>
<br>Suite à l&#39;arrivée de ton message pendant la rédactio n de celui-ci, j&#39;ai ajouté STARTTLS à la directive AuthLDAPUR L... et .... pas mieux :-(... toujours Internal Server Error.<br><br>Le log Apache donne :<br><pre>
[warn] [client 130.120.xxx.xxx] [19769] auth_ldap authenticate: user xxx a uthentication failed; URI /ldap-status [LDAP: ldap_start_tls_s() failed][Co nnect error]<br></pre>et sur le syslog, j&#39;ai :<br><pre> slapd[18327]: c onn=252 fd=17 ACCEPT from IP=130.120.xxx.xxx:46943 (IP=130.120.xxx. xxx:389) <br>
slapd[18327]: conn=252 op=0 EXT oid=1.3.6.1.4.1.1466.20037 <br> slap d[18327]: conn=252 op=0 STARTTLS <br> slapd[18327]: conn=252 op=0 R ESULT oid= err=0 text= <br> slapd[18327]: conn=252 fd=17 closed ( TLS negotiation failure)</pre>
<div class="gmail_quote">Ce qui m&#39;indique que la negociation TLS à ©choue, mais ça je le savais déjà...<br><br>Je ne vois tou jours pas comment m&#39;en sortir :-(<br><br>Mais je te remercie de tes eff orts pour me venir en aide<br>
<br><br>Le 24 avril 2009 14:43, Tan.N <span dir="ltr">&lt;<a href="mail to:axaly@yahoo.fr">axaly@yahoo.fr</a>&gt;</span> a écrit :<br><blockqu ote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204 ); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">






<div bgcolor="#ffffff" text="#000000">
          Bonjour,<br>
<br>
1/ Un bon petit coup de &quot;a2enmod nom-du-module&quot; ne fait pas de ma l pour
les 2 modules d&#39;auth ldap<br>
2/ OK pour le TLS si le ldapsearch répond comme il faut<br>
3/ Juste avant de passer en TLS ou SSL, as tu essayé de faire un test
sans cryptage ?<br>
Sinon que donne les log d&#39;apache ?<br><font color="#888888">
<br>
TN</font><div><div></div><div class="h5"><br>
<br>
Jean-Max Redonnet a écrit :
<blockquote type="cite">
<div class="gmail_quote">Tout d&#39;abord merci pour ta réponse.<b r>
<br>
1/ Je pense que les modules sont bien chargés ; en tout cas le
/etc/apache2/apache2.conf contient la directive <br>
Include /etc/apache2/mods-enabled/*.load<br>
qui inclut tous les fichiers .load de /etc/apache2/mods-enabled/ parmi
lesquels on trouve :<br>
    ldap.load qui contient LoadModule ldap_module
/usr/lib/apache2/modules/mod_ldap.so<br>
et authnz_ldap.load qui contient LoadModule authnz_ldap_module
/usr/lib/apache2/modules/mod_authnz_ldap.so<br>
Je pense que c&#39;est suffisant pour pouvoir dire que les modules sont
chargés non ? Ou bien il y a un autre moyen de le vérifier (en
interrogeant le serveur en fonction par exemple ?)<br>
<br>
2/ J&#39;ai oublié de le préciser, mais oui, bien sûr, mon s erveur LDAP
accepte les connections TLS<br>
Par exemple, quand je tape la commande :<br>
ldapsearch -x <b><span style="color: rgb(255, 102, 102);">-ZZ</span></b>
-H <a>ldap://</a><a href="http://xxx.ups-tlse.fr" target="_blank">xxx.u ps-tlse.fr</a> -D
&quot;cn=admin,dc=xxx,dc=ups-tlse,dc=fr&quot; -b
&quot;ou=Users,ou=People,dc=xxx,dc=ups-tlse,dc=fr&quot; -W <br>
<pre>Aux niveaux des logs, j&#39;obtiens :
slapd[18327]: conn=0 fd=13 ACCEPT from IP=130.120.xxx.xxx:41224 (IP =130.120.xxx.xxx:389)
slapd[18327]: conn=0 op=0 EXT oid=1.3.6.1.4.1.1466.20037
slapd[18327]: conn=0 op=0 <b><span style="color: rgb(255, 102, 102); ">STARTTLS</span></b>


slapd[18327]: conn=0 op=0 RESULT oid= err=0 text=
slapd[18327]: conn=0 fd=13 <b><span style="color: rgb(255, 102, 102) ;">TLS established</span></b> tls_ssf=128 ssf=128
slapd[18327]: conn=0 op=1 BIND dn=&quot;cn=admin,dc=xxx,dc=ups -tlse,dc=fr&quot; method=128


slapd[18327]: conn=0 op=1 BIND dn=&quot;cn=admin,dc=xxx,dc=ups -tlse,dc=fr&quot; mech=SIMPLE ssf=0
slapd[18327]: conn=0 op=1 RESULT tag=97 err=0 text=
slapd[18327]: conn=0 op=2 SRCH base=&quot;ou=Users,ou=People,dc =xxx,dc=ups-tlse,dc=fr&quot; scope=2 deref=0 filter=&quot;(obje ctClass=*)&quot;


slapd[18327]: conn=0 op=2 SEARCH RESULT tag=101 err=0 nentries=3 1 text=
slapd[18327]: conn=0 op=3 UNBIND
slapd[18327]: conn=0 fd=13 closed
</pre>
Au niveau du point 3/  de ta réponse, je ne suis pas sûr d&# 39;avoir
compris la chose à essayer ; mais en lisant l&#39;exemple que tu
retranscris et sur lequel je me suis aussi appuyé pour établir ma
config, je vois que tu mets en avant l&#39;ajout de l&#39;option TLS à la fin
de la ligne AuthLDAPURL. Si j&#39;ai bien lu la doc, cette option ne sert
qu&#39;à surcharger la directive LDAPTrustedMode que j&#39;ai bien mis à TLS.
Ou alors, il y a quelque chose qui m&#39;a échappé :-(. Quoi qu&# 39;il en soit,
ça ne marche pas, que je mettes TLS dans l&#39;un ou l&#39;autre, ni m ême aux
deux endroits.<br>
<br>
Ce qui m&#39;inquiète le plus c&#39;est qu&#39;il m&#39;affiche une in ternal server
error au lieu d&#39;une authentification failed qui me paraîtraît de
meilleur aloi.<br>
<br>
En tout cas merci de te pencher sur mon problème. Je suis à l&#39 ;écoute de
toutes les idées qui pourraient me sortir de cette impasse.<br>
<br>
jMax<br>
<br>
<br>
<div class="gmail_quote">2009/4/23 Tan.N <span dir="ltr">&lt;<a href ="mailto:axaly@yahoo.fr" target="_blank">axaly@yahoo.fr</a>&gt;</span>
<div>
<div><br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204 , 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div bgcolor="#ffffff" text="#000000"><br>
1/ <code>A vérifier si les modules mod_ldap et mod_authnz_ldap sont
chargés dans apache.<br>
<br>
</code>2/ Petite question : ton serveur Ldap accepte-t-il les
connexions TLS ?<br>
<br>
3/ A essayer :<br>
D&#39;après la doc d&#39;Apache : 
<a href="http://httpd.apache.org/docs/2.2/mod/mod_ldap.html#usingsslt ls" target="_blank">http://httpd.apache.org/docs/2.2/mod/mod_ldap.html#us ingssltls</a><br>
<br>
**********<br>
The ability to create an SSL and TLS connections to an LDAP server is
defined by the directives <code><a href="http://httpd.apache.org/docs/2.2 /mod/mod_ldap.html#%20%20%20%20ldaptrustedglobalcert" target="_blank">
LDAPTrustedGlobalCert</a></code>, <code><a href="http://httpd.apache.org/ docs/2.2/mod/mod_ldap.html#%20%20%20%20ldaptrustedclientcert" target="_bl ank">
LDAPTrustedClientCert</a></code> and <code><a href="http://httpd.apache.o rg/docs/2.2/mod/mod_ldap.html#%20%20%20%20ldaptrustedmode" target="_blank ">
LDAPTrustedMode</a></code>. These directives specify the CA and
optional client certificates to be used, as well as the type of
encryption to be used on the connection (none, SSL or TLS/STARTTLS).
<div>
<p><code> # Establish an SSL LDAP connection on port 636. Requires
that
<br>
# mod_ldap and mod_authnz_ldap be loaded. Change the <br>
# &quot;<a href="http://yourdomain.example.com" target="_blank">yourdom ain.example.com</a>&quot; to match your domain.<br>
<br>
LDAPTrustedGlobalCert CA_DER /certs/certfile.der<br>
<br>
&lt;Location /ldap-status&gt;<br>
<span> SetHandler ldap-status<br>
Order deny,allow<br>
Deny from all<br>
Allow from <a href="http://yourdomain.example.com" target="_blank">your domain.example.com</a><br>
AuthLDAPURL ldaps://<a href="http://127.0.0.1/dc=example,dc=com?uid?o ne" target="_blank">127.0.0.1/dc=example,dc=com?uid?one</a><br>
AuthzLDAPAuthoritative off<br>
Require valid-user<br>
</span> &lt;/Location&gt; </code></p>
</div>
<div>
<p><code> # Establish a TLS LDAP connection on port 389. Requires
that <br>
# mod_ldap and mod_authnz_ldap be loaded. Change the <br>
# &quot;<a href="http://yourdomain.example.com" target="_blank">yourdom ain.example.com</a>&quot; to match your domain.<br>
<br>
LDAPTrustedGlobalCert CA_DER /certs/certfile.der<br>
<br>
&lt;Location /ldap-status&gt;<br>
<span> SetHandler ldap-status<br>
Order deny,allow<br>
Deny from all<br>
Allow from <a href="http://yourdomain.example.com" target="_blank">your domain.example.com</a><br>
AuthLDAPURL <a>ldap://127.0.0.1/dc=example,dc=com?uid?one</a>
<font color="#ff0000"><b>TLS</b></font><br>
AuthzLDAPAuthoritative off<br>
Require valid-user<br>
</span> &lt;/Location&gt; </code></p>
</div>
***********<br>
<br>
Jean-Max Redonnet a écrit :
<div>
<div>
<blockquote type="cite">Bonjour,<br>
<br>
Malgré tous mes efforts, multiples et répétés, je ne pa rviens
définitivement pas à configurer l&#39;authentification LDAP en TL S sur mon
serveur Apache2.2.<br>
<br>
Voilà ce que j&#39;ai mis dans le /etc/apache2/ports.conf inclus dans
/etc/apache2/apache2.conf<br>
<br>
LDAPTrustedGlobalCert CA_BASE64 /etc/ssl/cacert.pem<br>
<br>
&lt;VirtualHost 130.120.xxx.xxx:80&gt;<br>
<br>
    LDAPTrustedClientCert CERT_BASE64 /etc/ssl/certs/xxx.ups -tlse.fr.crt<br>
    LDAPTrustedClientCert KEY_BASE64
/etc/ssl/private/xxx.ups-tlse.fr.key<br>
    LDAPTrustedMode TLS<br>
<br>
    &lt;Location /ldap-status&gt;<br>
        SetHandler ldap-status<br>
        order deny,allow<br>
        allow from <a href="http://xxx .ups-tlse.fr" target="_blank">xxx.ups-tlse.fr</a><br>
        allow from <a href="http://xxx .ups-tlse.fr" target="_blank">xxx.ups-tlse.fr</a><br>
        AuthType basic<br>
        AuthName &quot;Auth LDAP&quot;<b r>
        AuthBasicProvider ldap<br>
        AuthLDAPURL <a>ldap://</a><a hre f="http://xxx.ups-tlse.fr/ou=Users,ou=People,dc=xxx,dc=ups-tlse,d c=fr?uid" target="_blank">xxx.ups-tlse.fr/ou=Users,ou=People,dc=x xx,dc=ups-tlse,dc=fr?uid</a><br>
        AuthzLDAPAuthoritative off<br>
        require valid-user<br>
    &lt;/Location&gt;<br>
<br>
&lt;/VirtualHost&gt;<br>
<br>
OpenLDAP est installé et marche bien. Apache idem.<br>
Mes certificats sont bons (je les utilise par ailleurs avec succès). < br>
<br>
Je ne vois pas d&#39;où peut venir le problème. Alors avant de sw itcher
vers le module d&#39;authentification via PAM (qui comble de l&#39;ironie
utilise LDAP avec bonheur), je m&#39;en remet aux gens qui savent...<br>
<br>
Dans la doc d&#39;Apache, j&#39;ai trouvé ça :<br>
&quot;The documentation for the SDK claims to support both SSL and STARTTLS ,
however STARTTLS does not seem to work on all versions of the SDK. The
SSL/TLS mode can be set using the LDAPTrustedMode parameter. If an
ldaps:// URL is specified, SSL mode is forced. The OpenLDAP
documentation notes that SSL (ldaps://) support has been deprecated to
be replaced with TLS, although the SSL functionality still works.&quot;<br>
Alors, je me dis que je suis peut-être pas le seul à rencontrer d es
problèmes...<br>
<br>
Si vous avez des retours d&#39;expérience ou des suggestions, je suis tout
ouï<br>
<br>
Merci d&#39;avance.<br>
<br>
jMax<br>
<br>
</blockquote>
<br>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
<br>
</div>
<br>
</blockquote>
<br>
</div></div></div>

</blockquote></div><br>

--001636c5a3e91300e804684d1ad3--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org