Forum Linux.debian/ubuntu OpenLDAP / SSL

Posté par  (site web personnel) .
Étiquettes : aucune
0
10
sept.
2009
Bonjour,

J'ai récemment fait un setup d'OpenLDAP sur Lenny et c'est passé sans problème.
Ensuite j'ai voulu ajouter le SSL au setup.

Pour ce faire j'ai suivi ce setup :
http://kidrek.fr/blog/?p=30/ss

Mon fichier slapd.conf se trouve ici :
http://pastebin.org/16681

Mon fichier ldap.conf se trouve ici :
http://pastebin.org/16682

Dans les fichiers pam_ldap.conf & libnss_ldap.conf j'ai uniquement l'uri pour le serveur avec ldaps. Si je fait par exemple un getent passwd ou un id user, je ne vois pas mes utilisateurs LDAP mais j'obtient les logs suivant :

sur le serveur :

Sep 10 09:59:39 BRUBLUnm13 slapd[3259]: connection_get(13): got connid=32
Sep 10 09:59:39 BRUBLUnm13 slapd[3259]: connection_read(13): checking for input on id=32
Sep 10 09:59:39 BRUBLUnm13 slapd[3259]: connection_get(13): got connid=32
Sep 10 09:59:39 BRUBLUnm13 slapd[3259]: connection_read(13): checking for input on id=32
Sep 10 09:59:39 BRUBLUnm13 slapd[3259]: connection_read(13): unable to get TLS client DN, error=49 id=32
Sep 10 09:59:39 BRUBLUnm13 slapd[3259]: connection_get(13): got connid=32
Sep 10 09:59:39 BRUBLUnm13 slapd[3259]: connection_read(13): checking for input on id=32
Sep 10 09:59:39 BRUBLUnm13 slapd[3259]: ber_get_next on fd 13 failed errno=0 (Success)
Sep 10 09:59:39 BRUBLUnm13 slapd[3259]: connection_closing: readying conn=32 sd=13 for close
Sep 10 09:59:39 BRUBLUnm13 slapd[3259]: connection_close: conn=32 sd=13


Sur le client :
http://pastebin.org/16684

J'ai un peu sorti du thread les morceaux trop volumineux afin de rendre votre lecture plus facile, j'éspère que ça ne dérangera personne.

Si quelqu'un a une idée ce serait vraiment sympa de m'aider :)
  • # SSL / Debug

    Posté par  (site web personnel) . Évalué à 2.

    Augmenter le niveau de debug côte client et serveur.

    Les certificats sont corrects ?

    - openssl s_client
    - ldapsearch -ZZ

    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

    • [^] # Re: SSL / Debug

      Posté par  (site web personnel) . Évalué à 1.

      Pour le openssl s_client j'obtient ceci :

      CONNECTED(00000003)
      SSL_connect:before/connect initialization
      SSL_connect:SSLv2/v3 write client hello A
      SSL_connect:SSLv3 read server hello A
      depth=0 /C=BE/ST=Belgium/L=Brussel/O=company/OU=Operations/CN=Henry-Nicolas Tourneur/emailAddress=hntourneur@company.com
      verify error:num=18:self signed certificate
      verify return:1
      depth=0 /C=BE/ST=Belgium/L=Brussel/O=company/OU=Operations/CN=Henry-Nicolas Tourneur/emailAddress=hntourneur@company.com
      verify error:num=7:certificate signature failure
      verify return:1
      depth=0 /C=BE/ST=Belgium/L=Brussel/O=company/OU=Operations/CN=Henry-Nicolas Tourneur/emailAddress=hntourneur@company.com
      verify return:1
      SSL_connect:SSLv3 read server certificate A
      SSL_connect:SSLv3 read server done A
      SSL_connect:SSLv3 write client key exchange A
      SSL_connect:SSLv3 write change cipher spec A
      SSL_connect:SSLv3 write finished A
      SSL_connect:SSLv3 flush data
      SSL_connect:SSLv3 read finished A
      ---
      Certificate chain
      0 s:/C=BE/ST=Belgium/L=Brussel/O=company/OU=Operations/CN=Henry-Nicolas Tourneur/emailAddress=hntourneur@company.com
      i:/C=BE/ST=Belgium/L=Brussel/O=company/OU=Operations/CN=Henry-Nicolas Tourneur/emailAddress=hntourneur@company.com
      -----BEGIN CERTIFICATE-----
      MIICxzCCAjACCQDfaEwiLaljYTANBgkqhkiG9w0BAQUFADCBpzELMAkGA1UEBhMC
      QkUxEDAOBgNVBAgTB0JlbGdpdW0xEDAOBgNVBAcTB0JydXNzZWwxFDASBgNVBAoT
      C01BQyBUZWxlY29tMRMwEQYDVQQLEwpPcGVyYXRpb25zMR8wHQYDVQQDExZIZW5y
      eS1OaWNvbGFzIFRvdXJuZXVyMSgwJgYJKoZIhvcNAQkBFhlobnRvdXJuZXVyQG1h
      Y3RlbGVjb20uY29tMB4XDTA5MDkwOTE0NTgwMFoXDTE5MDkwNzE0NTgwMFowgacx
      CzAJBgNVBAYTAkJFMRAwDgYDVQQIEwdCZWxnaXVtMRAwDgYDVQQHEwdCcnVzc2Vs
      MRQwEgYDVQQKEwtNQUMgVGVsZWNvbTETMBEGA1UECxMKT3BlcmF0aW9uczEfMB0G
      A1UEAxMWSGVucnktTmljb2xhcyBUb3VybmV1cjEoMCYGCSqGSIb3DQEJARYZaG50
      b3VybmV1ckBtYWN0ZWxlY29tLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC
      gYEA3ZT5ESk9T6pC5NeZB0wH1e+1hdiXPX4HSKTJklnUW+C2lQMvPLSGgVx3gNKk
      alAdBL7nE+7qlnSM88MPNetA8H4U4FeVgiY/xNFnuPW9/90PX79jf9Rvjvq5IhmN
      XOtf/EhPhpgeOWnm5RgDoCSS4hZEZrRaQW5bP3eodo+47L8CAwEAATANBgkqhkiG
      9w0BAQUFAAOBgQC9hU5JY539oGZGXCOxHFHbAWqGInt8wkOPNdLqLZaqIVqS64Of
      L2Ovo9WQ0qwST48XAmdMvD5euMqNBbtdgeT9D7YzYkGaSx3HvR7vzeC/Fgn8OKM9
      Z1CFx+BRlOR3nQ5lcH/svC/qEErmS9xCeiqB0zSZIc0jpMlEZ4Q3xo6v9Q==
      -----END CERTIFICATE-----
      ---
      Server certificate
      subject=/C=BE/ST=Belgium/L=Brussel/O=company/OU=Operations/CN=Henry-Nicolas Tourneur/emailAddress=hntourneur@company.com
      issuer=/C=BE/ST=Belgium/L=Brussel/O=company/OU=Operations/CN=Henry-Nicolas Tourneur/emailAddress=hntourneur@company.com
      ---
      No client certificate CA names sent
      ---
      SSL handshake has read 1069 bytes and written 316 bytes
      ---
      New, TLSv1/SSLv3, Cipher is AES256-SHA
      Server public key is 1024 bit
      Compression: NONE
      Expansion: NONE
      SSL-Session:
      Protocol : TLSv1
      Cipher : AES256-SHA
      Session-ID: 68435F9BDB62DCB32FB193A8140C92258102A91A2171DF0C3C6DE89BE7F264E5
      Session-ID-ctx:
      Master-Key: CD789CABAF1F4D8728365377CF086A4EAD9E97268DBB8360051B5F66F29DF973FAA5DC66AD0E6D12FA47408CF296AAAA
      Key-Arg : None
      Start Time: 1252573843
      Timeout : 300 (sec)
      Verify return code: 7 (certificate signature failure)
      ---



      Pour le ldapsearch -ZZ j'obtient ça :
      ldap_start_tls: Can't contact LDAP server (-1)

      A noter aussi que si je fait openssl verify -CAfile cacert.pem servercert.pem, j'ai :

      servercert.pem: /C=BE/ST=Belgium/L=Brussel/O=company/OU=Operations/CN=Henry-Nicolas Tourneur/emailAddress=hntourneur@company.com
      error 18 at 0 depth lookup:self signed certificate
      /C=BE/ST=Belgium/L=Brussel/O=company/OU=Operations/CN=Henry-Nicolas Tourneur/emailAddress=hntourneur@company.com
      error 7 at 0 depth lookup:certificate signature failure
      3416:error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01:rsa_pk1.c:100:
      3416:error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPT:padding check failed:rsa_eay.c:699:
      3416:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:a_verify.c:168:



      C'est un certificat autosigné, ça semble poser des soucis du côté de la signature. Le tuto que j'ai renseigné ne serait pas correct sur la partie des certificats ?
      • [^] # Re: SSL / Debug

        Posté par  (site web personnel) . Évalué à 2.

        C'est pas faux...

        Il y a deux chose vérifier l'identité du:
        - server coé client
        - client côté server

        Selon ton degré de sécurité souhaité.

        Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

        • [^] # Re: SSL / Debug

          Posté par  (site web personnel) . Évalué à 1.

          Ici je veut juste vérifier l'identité du serveur côté client et puis crypté le trafic.
          Donc la version assez basique mais qui me suffit.

          As-tu une idée sur la source de mon problème ?

          Merci.
          • [^] # Re: SSL / Debug

            Posté par  (site web personnel) . Évalué à 0.

            C'est assez explicite pour moi.

            Contacte moi en MP pour prestation support.

            Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

            • [^] # Re: SSL / Debug

              Posté par  (site web personnel) . Évalué à 2.

              Allé, si c'est explicite pour toi je suis content.
              En attendant ici c'est un forum communautaire et je te demande pas des heures de boulot, alors désolé mais ta prestation support, c'est juste ma reconnaissance et ma sympathie.
              • [^] # Re: SSL / Debug

                Posté par  (site web personnel) . Évalué à 2.

                Bon courage pour la suite
                C'est écrit explicitement dans les messages si tu cherches un peu.

                Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

  • # Dans ldap.conf

    Posté par  (site web personnel) . Évalué à 1.

    Si tu mets "TLS_REQCERT never" dans le fichier "/etc/ldap/ldap.conf" sur ton client, ça change quelque chose ?

    "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.