Forum Linux.débutant Accès distant à un LDAP

Posté par Scade le 04 septembre 2012 à 11:52.

Étiquettes :

sept.

2012

Bien l'bonjour !

J'ai, avec un collègue, depuis le début cet été pris la charge du petit réseau de l'école dans laquelle j'étudie, et je ne connaissais alors rien de rien à Linux.

Après plusieurs mois de galères diverses, on est enfin parvenus à avoir un serveur qui tourne sous Debian squeeze, avec un LDAP, Samba, Bind9 et plus ou moins tout ce qu'on désirait.
Le LDAP marche bien, tous les ordinateurs windows peuvent s'y enregistrer, et la connexion des utilisateurs se fait sans souci. De même, on utilise le logiciel MantisBugTracker hébergé sur le serveur, qui se connecte au LDAP, et là aussi, pas de problème.

Par contre, nous avons un deuxième ordi, sous windows pro celui_là, qui héberge un serveur SVN (c'est une contrainte des employeurs). Et lui, quand on essaye de le brancher au LDAP, il dit qu'il n'y parvient pas (On a testé CollabnetSVN et UberSVN avec aussi peu de succès.).

Un "telnet 192.168.1.1 389" dit qu'il est impossible d'ouvrir une connexion à l'hôte.
Un "nmap 127.0.0.1 -p 389" sur le serveur linux affiche bien le port 389 comme ouvert.
Un "nmap 192.168.1.1 -p 389" sur le serveur linux affiche bien le port 389, mais fermé !

Donc on en a déduit que le LDAP n'était accessible qu'en local, mais une demi-journé de recherches sur internet ne nous ont pas permis de trouver comment ouvrir la connexion distante. :(

Si quelqu'un avait la bonté de bien vouloir nous sortir de ce pétrin… ;)

# Vérifier.

Posté par Grunt le 04 septembre 2012 à 12:01. Évalué à 3.
Donc on en a déduit que le LDAP n'était accessible qu'en local

Ou bien il y a un parefeu qui le bloque.

Que donnent les commandes suivantes ?
```
iptables-save


netstat -nplaute | grep 389 | grep LISTEN
```
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
- [^] # Re: Vérifier.
  
  Posté par ze_lionix (site web personnel) le 04 septembre 2012 à 12:39. Évalué à 3.
  
  Cela ne mange pas de pain de vérifier aussi dans la configuration que le LDAP est bien ouvert vers l'extérieur, Je sais le netstat devrait le montrer aussi, et cela ressemble très fortement à un problème de frw, je suis d'accord… D'autant que (…)tous les ordinateurs windows peuvent s'y enregistrer(…)
  
  Mais se familiariser avec la configuration c'est toujours sympa !
  
  $>grep SERVICE /etc/default/slapd
  
  Tu dois avoir un truc du genre
  
  SLAPD_SERVICE="ldap:/// "
  
  Si il avait été restreint ce serait
  
  SLAPD_SERVICE="ldap://127.0.0.1:389/"
  
  Fuse : j'en Use et Abuse !
  - [^] # Re: Vérifier.
    
    Posté par Scade le 04 septembre 2012 à 12:55. Évalué à 2.
    
    Ha ! (Merci pour la rapidité de ta réponse à toi aussi, c'est vraiment très agréable ^⁾
    
    J'ai ça : SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps://127.0.0.1/ ldapi:///"
    
    Donc c'est apparemment cette config qui restreint les accès au LDAP ? Je met juste SLAPD_SERVICE="ldap:/// " et tout baigne ? (Désolé de demander confirmation mais comme il y a du monde qui l'utilise, j'aime autant ne pas trop y aller à l'aveuglette dans la config)
  - [^] # Re: Vérifier.
    
    Posté par Scade le 04 septembre 2012 à 13:20. Évalué à 4.
    
    AH LA VAAAAAAAACHE C'ETAIT CA ! T_T
    
    Un énorme merci de notre part à vous deux pour votre aide !
- [^] # Re: Vérifier.
  
  Posté par Scade le 04 septembre 2012 à 12:51. Évalué à 2. Dernière modification le 04 septembre 2012 à 16:20.
  Merci pour cette réponse rapide !
  
  Je n'ai pas souvenir qu'on ait installé un pare-feu. Est-ce que Debian en comprend un par défaut ?
  
  Voila le résultat de iptables-save (on avait essayé d'ajouter le port dedans) :
```
# Generated by iptables-save v1.4.8 on Tue Sep  4 12:47:04 2012
*filter
:INPUT ACCEPT [73267:39582901]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [62074:55628618]
-A INPUT -i eth1 -p tcp -m tcp --sport 389 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 389 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Sep  4 12:47:04 2012
```
  Et le résultat du netstat :
```
tcp        0      0 127.0.0.1:389           0.0.0.0:*               LISTEN      0          35683       4038/slapd
```
  - [^] # Re: Vérifier.
    
    Posté par NeoX le 04 septembre 2012 à 13:20. Évalué à 4.
    
    tcp 0 0 127.0.0.1:389 0.0.0.0:* LISTEN 0 35683 4038/slapd
    
    confirme qu'il n'ecoute que lui meme (127.0.0.1)
    là ou s'il permettait à d'autres de venir se connecter il afficherait au choix
    - 192.168.1.1:389 si ton serveur est sur l'IP 192.168.1.1
    - 0.0.0.0:389 s'il ecoute sur toutes les cartes reseaux du serveur
  - [^] # Re: Vérifier.
    
    Posté par Marotte ⛧ le 04 septembre 2012 à 15:35. Évalué à 3.
    
    C'est cool que ton problème ait été résolu. Je me permet juste de te faire une remarque le point suivant : l'utilisation du formatage des contenus sur ce site.
    
    Les lignes qui commencent par "Generated by iptables-save" et "Completed on Tue Sep" sont écrites en gros caractères parce que considéré par linuxfr.org comme des titres car la ligne commençait par un #. (normal pour un commentaire de fichier de conf…)
    Quand tu veux coller ce genre de texte ici sans rencontrer de problème tu peux l'entourer avec ``` (trois backquotes puis un retour à la ligne). Il ne sera pas interprété.
    
    Tous les détails ici.
    - [^] # Re: Vérifier.
      
      Posté par NeoX le 04 septembre 2012 à 16:21. Évalué à 3.
      
      j'ai corrigé son poste, comme ca c'est plus lisible.
      - [^] # Re: Vérifier.
        
        Posté par Scade le 05 septembre 2012 à 09:25. Évalué à 1.
        
        Merci bien, je ferai attention à l'avenir. ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.