Forum général.général Cacti et OpenLDAP/TLS

Posté par  (site web personnel) .
Étiquettes : aucune
0
17
sept.
2009
Bonjour,

J'ai actuellement un serveur OpenLDAP avec authentification TLS fonctionnelle.
Je voudrais utiliser ce serveur avec cacti mais j'ai systématiquement une erreur :


LDAP Error: Protocol error, unable to start TLS communications


Le serveur OpenLDAP ne fonctionne qu'avec TLS et cacti est en version 0.8.7e.
Le serveur LDAP exige aussi que le système s'authentifie au préalable avec un couple admin/mdp.

Vous pouvez trouver dans le lien suivant ma config cacti :
http://niconux.be/files/screen.png

Si quelqu'un a une idée ou sait m'expliquer ce que je doit faire, ce serait sympa.

Merci.
  • # 3 choix possibles pour lidentifcation

    Posté par  . Évalué à 3.

    d'apres ta capture d'ecran

    1°) No searching
    2°) Anonymous searching
    3°) Specific searching

    tu as essayé le 3 ?
    en lui precisant un DN qui existe dans la base et qui aurait le droit de faire la recherche ?
    • [^] # Re: 3 choix possibles pour lidentifcation

      Posté par  (site web personnel) . Évalué à 1.

      J'ai mit le "Specific searching" et comme DN "cn=admin,dc=company,dc=local", soit ce que j'utilise comme rootbinddn au niveau de pam-ldap.

      J'ai toujours la même erreur... une idée ?
      C'est assez embêtant parce-que à part ce message, je n'ai pas beaucoup d'autres infos pour débugger.
      • [^] # Re: 3 choix possibles pour lidentifcation

        Posté par  . Évalué à 3.

        en lisant bien l'ecran on voit que le DN specifié en dessous des choix de recherche
        n'est valide que dans le cas du "no searching"

        et qu'il doit correspondre à la branche dans laquelle l'utilisateur va se trouver
        avec comme syntaxe
        uid=,ou=...,dc=...,dc=...

        car sera remplacer par le login entrant dans cacti

        sinon apparemment c'est en bas qu'il faut remplir les :
        search DN
        search Password
        • [^] # Re: 3 choix possibles pour lidentifcation

          Posté par  (site web personnel) . Évalué à 1.

          Finalement grâce à votre aide (merci beaucoup) l'authentification fonctionne.
          Ceci dit le résultat final ne correspond pas à ce que j'aurai espéré, snif.

          Mon but au final est de ne pas devoir réajouter les users LDAP dans cacti (centraliser les infos) mais pouvoir malgré tout indiquer à cacti que tel user a le droit de regarder tel graphe.

          Pour l'instant tout ce que j'ai trouvé m'oblige a recrée les utilisateurs dans cacti en spécifiant que l'authentification se fait en LDAP (néanmoins, je dois quand même retaper login, password et autres infos ...).

          Une idée par rapport à ce dernier point ?
  • # Unable to start TLS : problème de nom ou de certificat...

    Posté par  . Évalué à 2.

    Généralement, quand la session TLS ne peut pas commencer, c'est que le certificat ne peut pas être vérifié (tu n'as pas le certificat de l'autorité ou c'est un certificat auto-signé), ou que le nom ne correspond pas à celui du certificat.

    Si c'est un certificat auto-signé, tu peux rajouter TLS_REQCERT never dans ton ldap.conf (côté client), pour que le certificat du serveur ne soit pas vérifié.

    Si c'est un problème de différence entre le CN du certificat et le nom utilisé pour appeler le serveur, il suffit de modifier la configuration de cacti (avec éventuellement une entrée dans le fichier hosts).

    Après, tu peux vérifier ce qui se passe en utilisant ssldump ou wireshark (si le support SSL est compilé), à condition de te munir de la clef privée du serveur (si tant est que tu y a accès).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.