Olalah ! GROSSE ERREUR de ma part ! Le port 177, c'est le Xdmcp ! Rien à voir, donc (c'était mon problème précédent en fait).
Bon, alors en gros :
- Commenter host et garder uri dans /etc/ldap.conf ;
- Utiliser ldap:// et pas ldaps:// dans cet URI (et ne pas oublier le deux-points, non plus) ;
- Ne pas préciser le numéro de port dans l'URI ;
- Passer en mode TLS par le port par défaut (389, donc) avec ssl start_tls;
- tlscacertfile pour préciser le nom de fichier de la CA qui a signé le certificat de ton serveur, pour que le client puisse l'authentifier. Peut-être pas nécessaire si tls_checkpeer no.
Ensuite, côté serveur, donc dans slapd.conf
- il te faut au moins un certificat côté serveur, fût-il autosigné (mais moi j'ai pris le temps de créer une CA puis de créer un certificat propre à LDAP).
[^] # Re: cn=chezmoicamarche,dc=org
Posté par Obsidian . En réponse au message ldap + tls. Évalué à 2.
Bon, alors en gros :
- Commenter host et garder uri dans /etc/ldap.conf ;
- Utiliser ldap:// et pas ldaps:// dans cet URI (et ne pas oublier le deux-points, non plus) ;
- Ne pas préciser le numéro de port dans l'URI ;
- Passer en mode TLS par le port par défaut (389, donc) avec ssl start_tls;
- tlscacertfile pour préciser le nom de fichier de la CA qui a signé le certificat de ton serveur, pour que le client puisse l'authentifier. Peut-être pas nécessaire si tls_checkpeer no.
Ensuite, côté serveur, donc dans slapd.conf
- il te faut au moins un certificat côté serveur, fût-il autosigné (mais moi j'ai pris le temps de créer une CA puis de créer un certificat propre à LDAP).
TLSCertificateFile /etc/pki/tls/certs/ldap.pemTLSCertificateKeyFile /etc/pki/tls/private/ldap.key
sans oublier de redémarrer :
# /etc/init.d/ldap restart
Ça devrait suffire à faire démarrer le TLS.
Puis :
ldapsearch -x -H ldap://srvtest3.test.org -ZZ '*'
Pour voir si tu peux établir une connexion en TLS avec ton serveur.
Après, c'est la configuration de PAM et NSS.
Bon courage.