Bonjour,
suite à mes précédentes péripéties, j'ai décidé de me former sur ldap.
J'ai bien compris les grandes lignes du bidules, j'arrive désormais à me connecter à mon ldap depuis un bout de code java, à executer des recherches, etc, j'ai même réussi à configurer TLS en générant un certificat et une clé privé coté serveur, et en donnant à manger le certificat à mon client.
tout va bien.
sauf que quand je tente de me connecter au LDAP de ma boite, qui a priori demande du TLS ou autre pour s'authentifier (sinon anonymous suffit), mon code java plante car il ne trouve pas de certificat adéquate dans son keystore. Logique me direz vous, c'est pourquoi je voulais savoir s'il y avait un moyen de déterminer où trouver ce certificat (un peu comme quand le navigateur web le télécharge pour un site web)
Car le temps que je trouve la bonne personne de la boite à aller enquiquiner avec ça, je ne suis pas rendu !
Merci pour l'aide !
Question bonus : si je mets un disallow bind_simple dans mon slapd.conf, je ne peux plus me connecter en TLS. Donc si je comprend bien TLS nécéssite tout de même de pouvoir un peu se connecter en simple d'abord, avant de faire le start_tls ?
Forum général.général [LDAP] télécharger le certificat du serveur
25
mar.
2010
# Il risque quand même de falloir passer par cette personne
Posté par Jerome Herman . Évalué à 4.
Soit il n'ets pas sur ta machine, ou pas exportable ou tu n'as pas le mot de passe et là il te faut le mec reponsable du PKI chez toi.
[^] # Re: Il risque quand même de falloir passer par cette personne
Posté par cho7 (site web personnel) . Évalué à 1.
merci pour ta réponse. J'ai déjà commencé à chercher de ce coté là, mais je ne trouve rien de probant pour l'instant. En fait actuellement ma machine se connecte au domaine via un client Novell.
J'ai cherché un peu partout, et à part dans la liste des certificats d'internet explorer, je ne trouve pas de certificats sur ma machine.
Et dans la liste de certificats que me donne IE, je n'en trouve pas a priori qui correspond au domaine auquel je me connecte (mais il y en a une tripotée générée par ma boite)
[^] # Re: Il risque quand même de falloir passer par cette personne
Posté par cho7 (site web personnel) . Évalué à 1.
j'ai trouvé dans l'arborescence ldap un dn représentant un des nombreux serveurs ldap de ma boite, et sous ce dn se trouve un attribut nDSPKIPublicKeyCertificate. J'ai pu copier le contenu de l'attribut dans un fichier texte, l'importer dans mon keystore, et tenter de me connecter.
Désormais il trouve le certificat, mais j'ai une nouvelle erreur :
[LDAP: error code 13 - Confidentiality Required]
Et là c'est le drame. C'est le même message d'erreur qu'à mes débuts, quand je tentais de me connecter en binding simple :(
Donc il doit vouloir que je m'authentifie avec autre chose que TLS !
[^] # Re: Il risque quand même de falloir passer par cette personne
Posté par cho7 (site web personnel) . Évalué à 1.
J'ai enfin compris ce qui clochait !
Je ré-instanciais ma connexion après avoir trouvé le dn de mon user pour l'authentifier, ce qui fait que ca rompait ma session TLS.
Il fallait que je modifie à chaud mon environnement de connexion :
ctx.addToEnvironment(Context.SECURITY_PRINCIPAL, dn);
ctx.addToEnvironment(Context.SECURITY_CREDENTIALS, password);
puis refaire un search bidon dans l'annuaire pour valider que j'étais authentifié.
Ca marche à merveille quand je me goure de mot de passe il râle, quand c'est le bon il est content, excepté que quand je fourni un mot de passe vide, il me dit que quand même que c'est OK (comme si ça forcait le mode anonymous)
Je vais régler ce dernier point coté logiciel en obligeant de fournir un mot de passe non vide.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.