Mea culpa... je suis un âne : j'avais oublié le TLSCACertificateFile dans le slapd.conf (et donc, le serveur ne pouvait vérifier la signature du certificat du client... je ne l'avais mis que dans le ldap.conf, ce qui est inutile pour le serveur)... ldapsearch marche donc nickel sur Lenny avec gnutls, SASL, et des certificats clients...
... par contre, en effet, PowerDNS n'a pas l'air du tout de vouloir s'authentifier via SASL... j'arrive à lui faire charger un .ldaprc en spécifiant la valeur $HOME dans le script d'init (un peu goret, mais c'était juste pour voir), mais il semble se foutre éperduement de TLS_CERT, TLS_KEY et SASL_MECH...
Apparemment, il ne gère pas SASL, qui interdit le "bind" anonyme, mais qui n'implique pas davantage de spécifier un CN sur lequel "binder" (en tout cas, en "EXTERNAL" ; il y a juste un mapping à faire dans la conf du server entre le CN du certificat, et ce sur quoi on veut binder : ça ne regarde donc pas le client)... Et pour PowerDNS, il semble que le seul choix soit entre un "bind" anonyme, et un "bind" explicite, avec des mots de passe tout pourris...
Bref, j'ai avancé, mais c'est toujours la loose... Bon...
[^] # Re: En anglais...
Posté par Aefron . En réponse au message Client sur OpenLdap+SSL. Évalué à 2.
... par contre, en effet, PowerDNS n'a pas l'air du tout de vouloir s'authentifier via SASL... j'arrive à lui faire charger un .ldaprc en spécifiant la valeur $HOME dans le script d'init (un peu goret, mais c'était juste pour voir), mais il semble se foutre éperduement de TLS_CERT, TLS_KEY et SASL_MECH...
Apparemment, il ne gère pas SASL, qui interdit le "bind" anonyme, mais qui n'implique pas davantage de spécifier un CN sur lequel "binder" (en tout cas, en "EXTERNAL" ; il y a juste un mapping à faire dans la conf du server entre le CN du certificat, et ce sur quoi on veut binder : ça ne regarde donc pas le client)... Et pour PowerDNS, il semble que le seul choix soit entre un "bind" anonyme, et un "bind" explicite, avec des mots de passe tout pourris...
Bref, j'ai avancé, mais c'est toujours la loose... Bon...