Forum Linux.debian/ubuntu Client LDAPS SSL

Posté par  .
Étiquettes : aucune
0
3
juin
2010
Bonjour,

Je viens d'installer un serveur OpenDS la connexion client /serveur est bonne. J'ai donc passer à l'étape suivante qui est de sécuriser le serveur.
J'ai donc générer la clé privé pour le certificat que j'ai auto signer par la suite .
J'ai effectuer un export de ma clé public puis j'ai tester avec un ldapsearch toujours sur le serveur J'ai un retour j'accepte le certificat et j'ai une réponse.

Maintenant côté client, je tente de configurer mon pam_ldap.conf et mon libnss_ldap.conf afin qu'il puisse effectuer la connexion en ldaps. C'est ici que je ne suis pas sure :J'ai modifier quelques paramètres....

------------------------------------------libnss_ldap.conf-------------------
uri ldaps://@du serveur
binddn ........
.
.
.
# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
#ssl start_tls
ssl on

# OpenLDAP SSL options
# Require and verify server certificate (yes/no)
# Default is to use libldap's default behavior, which can be configured in
# /etc/openldap/ldap.conf using the TLS_REQCERT setting. The default for
# OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes".
tls_checkpeer yes
# CA certificates for server certificate verification
# At least one of these are required if tls_checkpeer is "yes"
tls_cacertfile /etc/ssl/cert.txt
tls_reqcrt allow
tls_cacertdir /etc/ssl/certs
# Seed the PRNG if /dev/urandom is not provided
#tls_randfile /var/run/egd-pool

# SSL cipher suite
# See man ciphers for syntax
#tls_ciphers TLSv1

# Client certificate and key
# Use these, if your server requires client authentication.
#tls_cert
#tls_key
------------------------------------------------end libnss_ldap.conf-----------------


Je tente le ldapsearch:
#ldapsearch -h @ -p 636 -Z -b "dc=exemple,dc=org" -s base "(objectClass=*)"
ldap_start_tls: Can't contact LDAP server (-1)
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)

# ldapsearch -h @ -p 636 -b "dc=exemple,dc=org" -s base "(objectClass=*)"
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)


Qu'en pensez vous?

  • # port et option

    Posté par  (site web personnel) . Évalué à 1.

    nmap -p 636 pour s'assurer qu'il n'y a pas d'histoire de $^&!^^ firewall entre les 2..

    Sinon je crois qu'il faut passer cette option dans le ldap.conf pour éviter qu'il ne soit vérifié auprès d'un CA :
    TLS_REQCERT allow

    Fuse : j'en Use et Abuse !

    • [^] # Re: port et option

      Posté par  . Évalué à 1.

      C'est ok pour le contact client/serveur:
      #nmap @ -p 636

      Starting Nmap 4.62 ( http://nmap.org ) CEST
      Interesting ports on @:
      PORT STATE SERVICE
      636/tcp open ldapssl
      MAC Address:

      Nmap done: 1 IP address (1 host up) scanned in 0.075 seconds


      J'ai changer comme tu m'a dit allow mais tijour cette erreur:

      ldap_start_tls: Can't contact LDAP server (-1)
      ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
      Je pense que c'est peut être le certificat qui pose problème

      • [^] # Re: port et option

        Posté par  (site web personnel) . Évalué à 1.

        Pour savoir si c'est le certificat met l'option tls_reqcrt never et regarde si ca passe...

        Sinon une option debug sur le ldapsearch ( -d ) pourrait te donner des infos...
        Et si cela ne suffit pas, en comparant avec la trace sur le serveur ou ca passe tu verras ou ca qui coince..

        Fuse : j'en Use et Abuse !

  • # telnet / openssl / ssl / tls ?

    Posté par  (site web personnel) . Évalué à 1.

    Un telnet sur le port en question est moins intrusif.

    Pour tester openssl tu as la commande du même nom: openssl s_client ( cf le man pour les détail )

    Les clefs privées/publique sont au bon endroit, avec les bonnes permissions...

    tls port 389
    ssl port 636 en général

    Mes 2cts.

    Système - Réseau - Sécurité Open Source

    • [^] # Re: telnet / openssl / ssl / tls ?

      Posté par  . Évalué à 1.

      Je ne suis pas sure pour les clés mais en testant ... :

      #openssl s_client -state -nbio -connect @:636 | grep "^SSL"

      SSL_connect:before/connect initializationSSL_connect:before/connect initialization
      SSL_connect:SSLv2/v3 write client hello A
      SSL_connect:error in SSLv2/v3 read server hello A
      SSL_connect:SSLv3 read server hello A
      depth=0 /CN=FQDN
      verify error:num=18:self signed certificate

      SSL_connect:SSLv2/v3 write client hello A
      SSL_connect:error in SSLv2/v3 read server hello A
      SSL_connect:SSLv3 read server hello A
      SSL_connect:SSLv3 read server certificate A
      SSL_connect:SSLv3 read server key exchange A
      SSL_connect:SSLv3 read server certificate request A
      SSL_connect:SSLv3 read server done A
      SSL_connect:SSLv3 write client certificate A
      SSL_connect:SSLv3 write client key exchange A
      SSL_connect:SSLv3 write change cipher spec A
      SSL_connect:SSLv3 write finished A
      SSL_connect:SSLv3 flush data
      SSL_connect:error in SSLv3 read finished A
      SSL_connect:error in SSLv3 read finished A
      SSL_connect:SSLv3 read finished A
      SSL handshake has read 1038 bytes and written 296 bytes
      SSL-Session:
      -------------

      Jai essayer de trouver comment resoudre l'erreur 18 mais je ne sais pas comment.
      Mais il doit y avoir une erreur dans le pam et libnss non?
      Desole mais je suis une debutante ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.