RE: [sympa-fr] Connexion à un serveur ldap en ldaps

[LALOT Dominique <adresse@cachée>]

Salut Benoit

haproxy est terminateur SSL Et il est peut être configuré pour faire du A+ (avec SSLLabs). Ton serveur n'arrive peut être pas à négocier au niveau du SSL. Je pense que le new du code PERL (connect) ne fait qu'initialiser un objet. ça plante jamais. Quand tu vois que la plupart des Dev pour bind/connect/search/unbind au lieu de garder la connexion ouverte. Avec du SSL ça sera encore pire, mais bon, si c'est votre choix..

Testé depuis le serveur de listes chez moi (un vieux qui passe encore), et tu vois, je ne suis pas au top des 2 côtés.  Côte LDAPS, ça ne semble pas simple de configurer les protocoles comme on le fait sur apache, nginx ou haproxy

 openssl s_client -connect ldapmaitre.univ-amu.fr:ldaps

Acceptable client certificate CA names
/C=NL/ST=Noord-Holland/L=Amsterdam/O=TERENA/CN=TERENA SSL CA 3
---
SSL handshake has read 3581 bytes and written 625 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : AES256-GCM-SHA384

Si ton serveur LDAP fait du SSL, tu as ce param TLSCipherSuite pour virer SSLv3, comme on le fait de partout.

changetype: modify
add: olcTLSCipherSuite
olcTLSCipherSuite: SECURE256:-VERS-SSL3.0

Pas très documenté..

Il faudrait soit choper du openssl plus récent si tu peux, sinon la mise à jour, ou soit être plus permissif sur le haproxy

Tu dois pouvoir faire aussi un strace sur ton programme PERL pour regarder les librairies ouvertes.

Bon courage

Dom

--
Mr Dominique LALOT
Responsable Pôle Environnement Numérique
Direction Opérationnelle du Système d'Information (DOSI)

( Aix * Marseille Université
Coordonnées: https://annuaire.univ-amu.fr/personnel/detail/bGFsb3Q=

---

De : Benoît Marchal <adresse@cachée>
Envoyé : jeudi 16 avril 2020 16:20
À : sympa-fr
Cc : LALOT Dominique
Objet : Re: [sympa-fr] Connexion à un serveur ldap en ldaps

 

rebonjour,

Un simple programme perl qui fait un
my $ldaps = Net::LDAP->new('ldaps://<mon serveur ldap>:636',
                verify => 'none',
                cafile => '<ma chaine de certification>') or die "Erreur new : $@";

Je n'ai pas d'erreur (IE. je ne sors pas avec le die), mais dans les logs du serveur LDAP : SSL HANDSHAKE FAILURE

et à l'opération suivante, le programme sort avec le code '141'.

Une idée ?

Car alors, c'est exactement la même chose pour SYMPA.

Notre serveur CAS est connecté dessus, mais on vient depuis du Java.

C'est une nouvelle infrastructure ldap, redondé deriière un haproxy. Est ce que ce n'est pas du à ce logiciel ? On va chercher

Cordialement

---

Benoît MARCHAL
Sous direction Infrastructure & Services
Direction du Numérique
Université de Lorraine
Tél : 03.72.74.11.39 / 06.07.35.50.65
mél : adresse@cachée

----- Le 16 Avr 20, à 14:43, Martin <adresse@cachée> a écrit :

Le Thu, 16 Apr 2020 11:40:58 +0000,
LALOT Dominique <adresse@cachée> a écrit :

> use_tls permet de crypter dans du LDAP, donc pas de sens si tu tapes
> le port LDAPS

Euh je sais pas exactement ce que tu veux dire, mais la doc est très
claire
(https://sympa-community.github.io/gpldoc/man/auth.conf.5.html) et en
tous cas c'est ce que j'utilise (avec un host sur le port 636) :

use_tls

Default value: none

    ldaps

    Use LDAPS (LDAP over TLS/SSL)
(...)

Par contre je suis un peu plus dubitatif quand je vois l'exemple qui
contient "use_tls ldaps" tout en ayant le port 389 :S

https://sympa-community.github.io/manual/customize/ldap-auth.html avec
"ldap.univ-rennes1.fr:389" ...

De mon côté j'ai aussi précisé explicitement :
ca_file     /etc/ssl/certs/ca-certificates.crt

Peut-être que c'est nécessaire ?