Re: [sympa-fr] Connexion à un serveur ldap en ldaps

[Benoît Marchal <adresse@cachée>]

Bonjour,

Voici ce que j'ai trouvé : déjà pas de chance mon serveur de test a un souci sur son installation, c'est pour cela que mon programme de test ne fonctionnait pas :(

Mais on a trouvé les paramètres à mettre, je vous donne ce que j'ai positionné concernant la connexion ldap.

Pour rappel, je suis en SYMPA 6.2.42 installé à partir des rpm sur une CentOs 7.

host : (uri du serveur ) ldaps://<nom serveur ldap>:636

use_tls : none

ssl_version : tlsv1

ca_verify : required

Ce dernier paramètre est à votre choix. Il faut bien mettre la chaîne de certification dans le fichierr sympa.conf.

Bonne journée

---

Benoît MARCHAL
Sous direction Infrastructure & Services
Direction du Numérique
Université de Lorraine
Tél : 03.72.74.11.39 / 06.07.35.50.65
mél : adresse@cachée

----- Le 16 Avr 20, à 16:20, Benoît Marchal <adresse@cachée> a écrit :

rebonjour,

Un simple programme perl qui fait un
my $ldaps = Net::LDAP->new('ldaps://<mon serveur ldap>:636',
                verify => 'none',
                cafile => '<ma chaine de certification>') or die "Erreur new : $@";

Je n'ai pas d'erreur (IE. je ne sors pas avec le die), mais dans les logs du serveur LDAP : SSL HANDSHAKE FAILURE

et à l'opération suivante, le programme sort avec le code '141'.

Une idée ?

Car alors, c'est exactement la même chose pour SYMPA.

Notre serveur CAS est connecté dessus, mais on vient depuis du Java.

C'est une nouvelle infrastructure ldap, redondé deriière un haproxy. Est ce que ce n'est pas du à ce logiciel ? On va chercher

Cordialement

---

Benoît MARCHAL
Sous direction Infrastructure & Services
Direction du Numérique
Université de Lorraine
Tél : 03.72.74.11.39 / 06.07.35.50.65
mél : adresse@cachée

----- Le 16 Avr 20, à 14:43, Martin <adresse@cachée> a écrit :

Le Thu, 16 Apr 2020 11:40:58 +0000,
LALOT Dominique <adresse@cachée> a écrit :

> use_tls permet de crypter dans du LDAP, donc pas de sens si tu tapes
> le port LDAPS

Euh je sais pas exactement ce que tu veux dire, mais la doc est très
claire
(https://sympa-community.github.io/gpldoc/man/auth.conf.5.html) et en
tous cas c'est ce que j'utilise (avec un host sur le port 636) :

use_tls

Default value: none

    ldaps

    Use LDAPS (LDAP over TLS/SSL)
(...)

Par contre je suis un peu plus dubitatif quand je vois l'exemple qui
contient "use_tls ldaps" tout en ayant le port 389 :S

https://sympa-community.github.io/manual/customize/ldap-auth.html avec
"ldap.univ-rennes1.fr:389" ...

De mon côté j'ai aussi précisé explicitement :
ca_file     /etc/ssl/certs/ca-certificates.crt

Peut-être que c'est nécessaire ?