J'ai actuellement un serveur OpenLDAP avec authentification TLS fonctionnelle.
Je voudrais utiliser ce serveur avec cacti mais j'ai systématiquement une erreur :
LDAP Error: Protocol error, unable to start TLS communications
Le serveur OpenLDAP ne fonctionne qu'avec TLS et cacti est en version 0.8.7e.
Le serveur LDAP exige aussi que le système s'authentifie au préalable avec un couple admin/mdp.
Vous pouvez trouver dans le lien suivant ma config cacti :
http://niconux.be/files/screen.png
Si quelqu'un a une idée ou sait m'expliquer ce que je doit faire, ce serait sympa.
Merci.
# 3 choix possibles pour lidentifcation
Posté par NeoX . Évalué à 3.
1°) No searching
2°) Anonymous searching
3°) Specific searching
tu as essayé le 3 ?
en lui precisant un DN qui existe dans la base et qui aurait le droit de faire la recherche ?
[^] # Re: 3 choix possibles pour lidentifcation
Posté par Henry-Nicolas Tourneur . Évalué à 1.
J'ai toujours la même erreur... une idée ?
C'est assez embêtant parce-que à part ce message, je n'ai pas beaucoup d'autres infos pour débugger.
[^] # Re: 3 choix possibles pour lidentifcation
Posté par NeoX . Évalué à 3.
n'est valide que dans le cas du "no searching"
et qu'il doit correspondre à la branche dans laquelle l'utilisateur va se trouver
avec comme syntaxe
uid=,ou=...,dc=...,dc=...
car sera remplacer par le login entrant dans cacti
sinon apparemment c'est en bas qu'il faut remplir les :
search DN
search Password
[^] # Re: 3 choix possibles pour lidentifcation
Posté par Henry-Nicolas Tourneur . Évalué à 1.
Ceci dit le résultat final ne correspond pas à ce que j'aurai espéré, snif.
Mon but au final est de ne pas devoir réajouter les users LDAP dans cacti (centraliser les infos) mais pouvoir malgré tout indiquer à cacti que tel user a le droit de regarder tel graphe.
Pour l'instant tout ce que j'ai trouvé m'oblige a recrée les utilisateurs dans cacti en spécifiant que l'authentification se fait en LDAP (néanmoins, je dois quand même retaper login, password et autres infos ...).
Une idée par rapport à ce dernier point ?
[^] # Re: 3 choix possibles pour lidentifcation
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: 3 choix possibles pour lidentifcation
Posté par Henry-Nicolas Tourneur . Évalué à 1.
Encore faut-il que cacti supporte le fait d'aller chercher ces informations dans l'annuaire Ldap,
je ne vois nul part dans l'interface une option ressemblant à cela.
[^] # Re: 3 choix possibles pour lidentifcation
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: 3 choix possibles pour lidentifcation
Posté par NeoX . Évalué à 2.
en mettant dans le DN juste en dessous le chemin ou se trouvent les utilisateurs ?
normalement il doit chercher l'utilisateur en remplacant par le login de l'utilisateur
[^] # Re: 3 choix possibles pour lidentifcation
Posté par Henry-Nicolas Tourneur . Évalué à 1.
Je dois juste crée mes users dans phpldapadmin pour ensuite configurer l'accès aux graphes dans cacti, ce qui n'est pas trop dérangeant.
Merci beaucoup pour ton aide NeoX.
# Unable to start TLS : problème de nom ou de certificat...
Posté par nodens . Évalué à 2.
Si c'est un certificat auto-signé, tu peux rajouter
TLS_REQCERT neverdans ton ldap.conf (côté client), pour que le certificat du serveur ne soit pas vérifié.Si c'est un problème de différence entre le CN du certificat et le nom utilisé pour appeler le serveur, il suffit de modifier la configuration de cacti (avec éventuellement une entrée dans le fichier hosts).
Après, tu peux vérifier ce qui se passe en utilisant ssldump ou wireshark (si le support SSL est compilé), à condition de te munir de la clef privée du serveur (si tant est que tu y a accès).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.