• [^] # Re: cn=chezmoicamarche,dc=org

    Posté par . En réponse au message ldap + tls. Évalué à 2.

    Olalah ! GROSSE ERREUR de ma part ! Le port 177, c'est le Xdmcp ! Rien à voir, donc (c'était mon problème précédent en fait).

    Bon, alors en gros :

    - Commenter host et garder uri dans /etc/ldap.conf ;
    - Utiliser ldap:// et pas ldaps:// dans cet URI (et ne pas oublier le deux-points, non plus) ;
    - Ne pas préciser le numéro de port dans l'URI ;
    - Passer en mode TLS par le port par défaut (389, donc) avec ssl start_tls;
    - tlscacertfile pour préciser le nom de fichier de la CA qui a signé le certificat de ton serveur, pour que le client puisse l'authentifier. Peut-être pas nécessaire si tls_checkpeer no.

    Ensuite, côté serveur, donc dans slapd.conf

    - il te faut au moins un certificat côté serveur, fût-il autosigné (mais moi j'ai pris le temps de créer une CA puis de créer un certificat propre à LDAP).

    TLSCertificateFile /etc/pki/tls/certs/ldap.pem
    TLSCertificateKeyFile /etc/pki/tls/private/ldap.key


    sans oublier de redémarrer :

    # /etc/init.d/ldap restart

    Ça devrait suffire à faire démarrer le TLS.
    Puis :

    ldapsearch -x -H ldap://srvtest3.test.org -ZZ '*'

    Pour voir si tu peux établir une connexion en TLS avec ton serveur.

    Après, c'est la configuration de PAM et NSS.
    Bon courage.