Re: slapd ssl
On Thu, 15 Jan 2004 13:58:20 +0100 MEÏ Sébastien [EMAIL PROTECTED] wrote: [SNIP] Si quelqu'un a un retour d'expérience là dessus, je suis aussi interressé. J'essayerai de mettre les résultats de mes recherches ici, si celà interresse du monde. Comme promis je mets les résultats de mes recherches (fais sous Debian Sarge) : J'ai réussi à faire marcher mon serveur ldap en ldaps avec un certificat autosigné. J'ai fait un certificat autosigné : # cd /etc/ldap/ # openssl req -new -x509 -days 3650 -nodes -keyout ldap_rsa.key -out \ ldap_rsa.crt -newkey rsa:2048 Ca me fait un certificat x509 pour 10 ans sans mot de passe (-nodes) avec une génération de clef privé dans ldap_rsa.key avec un certificat généré dans ldap_rsa.crt, la clef est rsa sur 2048 bits (pour le fun) dans le slapd.conf ( n'importe ou dans le fichier de conf on dirait ) TLSCertificateFile /etc/ldap/ldap_rsa.crt TLSCertificateKeyFile /etc/ldap/ldap_rsa.key TLSCACertificateFile dans le ldap.conf du client TLS_CACERT /etc/ldap/ldap_rsa.crt En aillant copier ldap_rsa.crt dans /etc/ldap de la machine client. Test : # ldapsearch -x -vv -b dc=ens-lyon,dc=fr -H \ ldaps://foulque.ens-lyon.fr cn=* Ca marche !!! IMPORTANT : Ca ne marche pas si tu fais la mm manipe mais que tu fais ton certificat avec une clef DSA. Pourquoi ??? Voici ma manip pour faire mon certificat avec une clef DSA : # openssl dsaparam -C -out ldap_dsa.param 1024 # openssl req -new -x509 -days 3650 -nodes -keyout ldap_dsa.key -out \ ldap_dsa.crt -newkey dsa:ldap_dsa.param Mais la connexion est refusé qd on utilise ce certificat avec un : ldap_bind: Can't contact LDAP server (81) additional info: Error in the certificate. Cordialement MEÏ Sébastien
slapd ssl
Bonjour, Je veux utiliser ssl pour mon serveur ldap. Il tourne sans probleme deja sans. j'ai ajouter les lignes des certif dans slapd.conf mes certificats sont valide d'apres openssl quand je redemarre slapd, slapd plante et me met ca dans /var/log/syslog: slap_open_listener: socket() failed for AF_INET6 errno=97 (Address family not supported by protocol) Le support openssl n'est il pas intégré dans le paquet debian(je suis en sarge), ou est ce plustot un probleme de configuration? Comment puis je controller, la ligne de compilation avec lequel le paquet slapd a ete compilé? Voila, bien des questions, si quelqu'un a déjà eu ce problème... Georges
Re: slapd ssl
Georges Roux a écrit : slap_open_listener: socket() failed for AF_INET6 errno=97 (Address family not supported by protocol) Ceci est plutôt un problème de création de socket IPv6 et ton système ne le supporte pas. Ça ne devrait pas poser de problème. -- Jérôme
Re: slapd ssl
Est ce a dire qu'slapd utilise des sockets ipv6 ? mon reseau et en ipv4 Dois je ajouter le support ipv6 au kernel(recompiler)? Georges Jérôme Schell wrote: Georges Roux a écrit : slap_open_listener: socket() failed for AF_INET6 errno=97 (Address family not supported by protocol) Ceci est plutôt un problème de création de socket IPv6 et ton système ne le supporte pas. Ça ne devrait pas poser de problème.
Re: slapd ssl
Georges Roux a écrit : Ceci est plutôt un problème de création de socket IPv6 et ton système ne le supporte pas. Ça ne devrait pas poser de problème. Est ce a dire qu'slapd utilise des sockets ipv6 ? mon reseau et en ipv4 Dois je ajouter le support ipv6 au kernel(recompiler)? Justement non, c'est bein ce que j'indiquais. « Ça ne devrait pas poser de problème. » J'ai toujours eu ce message au lancement de slapd sans que cela pose de problème. -- Jérôme
Re: slapd ssl
On Thu, Jan 15, 2004 at 12:07:41PM +0100, Georges Roux wrote: Bonjour, Je veux utiliser ssl pour mon serveur ldap. Il tourne sans probleme deja sans. j'ai ajouter les lignes des certif dans slapd.conf mes certificats sont valide d'apres openssl quand je redemarre slapd, slapd plante et me met ca dans /var/log/syslog: slap_open_listener: socket() failed for AF_INET6 errno=97 (Address family not supported by protocol) Le support openssl n'est il pas intégré dans le paquet debian(je suis en sarge), ou est ce plustot un probleme de configuration? Comment puis je controller, la ligne de compilation avec lequel le paquet slapd a ete compilé? Voila, bien des questions, si quelqu'un a déjà eu ce problème... Georges Bonjour, le package 'slapd' est compilé _sans_ le support SSL dans la version woody (stable). Il faut donc soit le recompiler à partir des sources, soit utiliser un backport. Pour info la ligne avec le AF_INET6 n'a aucun rapport, slapd essaye l'IPv6 puis l'IPv4 suivant ce qui est dispo sur le système. Cordialement, /P -- [EMAIL PROTECTED] BOFH excuse #132: SCSI Chain overterminated
Re: slapd ssl
On Thu, 15 Jan 2004 12:07:41 +0100 Georges Roux [EMAIL PROTECTED] wrote: Bonjour, Bonjour, Je veux utiliser ssl pour mon serveur ldap. Il tourne sans probleme deja sans. j'ai ajouter les lignes des certif dans slapd.conf mes certificats sont valide d'apres openssl quand je redemarre slapd, slapd plante et me met ca dans /var/log/syslog: slap_open_listener: socket() failed for AF_INET6 errno=97 (Address family not supported by protocol) Le support openssl n'est il pas intégré dans le paquet debian(je suis en sarge), ou est ce plustot un probleme de configuration? Comment puis je controller, la ligne de compilation avec lequel le paquet slapd a ete compilé? Le paquet openldap de testing est compilé avec le support SSL. Pour voir la ligne de compile il suffit de faire un apt-get source du paquet que tu veux vérifier et regarder dans le debian/rules. Voila, bien des questions, si quelqu'un a déjà eu ce problème... J'ai pas eut ce problème spécifiquement mais je suis en train de travailler sur le ldaps. Pour l'instant j'ai réussi à y faire marcher en suivant mot pour mot : http://www.tom.sfc.keio.ac.jp/~torry/ldap/ldap.html#doc4_198 Il semble qu'on soit obliger d'avoir une authorité de certification. Mais, je ne peux rien affirmer car il faut que je continue mes tests. Si quelqu'un a un retour d'expérience là dessus, je suis aussi interressé. J'essayerai de mettre les résultats de mes recherches ici, si celà interresse du monde. Cordialement MEI Sébastien
Re: slapd ssl
On Thu, 15 Jan 2004 13:31:57 +0100 Georges Roux [EMAIL PROTECTED] wrote: Est ce a dire qu'slapd utilise des sockets ipv6 ? mon reseau et en ipv4 Dois je ajouter le support ipv6 au kernel(recompiler)? Il faut rajouter : SLAPD_OPTIONS=-4 dans le /etc/default/slapd si tu ne veux pas faire d'IPV6. Et tu n'aura plus le message d'erreur. MEI Sébastien