GNU/Linux >> Tutoriels Linux >  >> Linux

Comment faire fonctionner Ldapsearch sur Sles sur Tls à l'aide d'un certificat ?

Nous devons connecter notre script php à LDAP via tls à l'aide d'un certificat. La connexion LDAP fonctionne bien sans tls. Plus de détails ici https://stackoverflow.com/questions/15260252/how-to-use-multiple-tls-certificates-for-ldap-from-php-zend

Nous avons réussi à nous connecter via tls à partir de Windows en utilisant le navigateur LDAP Softerra. Il nous a demandé d'installer un certificat et si nous lui faisions confiance.

Mon résultat final est de pouvoir m'authentifier avec LDAP en utilisant TLS à partir de php. J'ai reçu un certificat de type .cer. Il provient d'une machine Windows Exchange. D'après ce que je peux voir, SLES prend en charge les certificats .pem. Ma question est donc …

Q1 :Dois-je convertir .cer en .pem d'abord avant que je puisse installer le certificat sur le client (qui est le serveur SLES) et enfin Q2 :quelle est la meilleure façon d'installer ce certificat sur le serveur pour que mon application php puisse y accéder et faire son travail . Notez que sur le serveur SLES, nous devons nous connecter à différents serveurs LDAP.

À l'heure actuelle, si nous courons

ldapsearch -H ldaps://localhost:9215 -W

nous obtenons

Enter LDAP Password: 
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate)

J'ai trouvé plein de bonnes infos ici http://www.php.net/manual/de/function.ldap-connect.php#36156 et surtout cette phrase est importante à mes yeux Once you've gotten the ldapsearch tool working correctly PHP should work also.

  • SUSE Linux Enterprise Server 11 (x86_64)
  • ldapsearch :@(#) $OpenLDAP :ldapsearch 2.4.26 (26 septembre 2012 13:14:42) $
    [email protected] :/usr/src/packages/BUILD/openldap-2.4.26 /clients/tools
    (bibliothèque LDAP :OpenLDAP 20426)

Réponse acceptée :

Cela signifie que le certificat sur le serveur a expiré ou qu'il n'est pas valide.

En ce qui concerne la solution de contournement, utilisez le LDAPTLS_REQCERT variable pour ignorer le certificat, par exemple :

LDAPTLS_REQCERT=never ldapsearch -D "cn=drupal-test,ou=Services,dc=example,dc=com" -w my_pass -h ldap.example.com -b "ou=People,dc=example,dc=com" -s sub -x -ZZ "(uid=admin)"

Sinon, vous pouvez importer le certificat et le marquer comme approuvé.


Linux

  1. Comment sécuriser vos services de messagerie Linux avec SSL/TLS

  2. Comment gérer les certificats Lets Encrypt SSL/TLS avec certbot

  3. Comment configurer VSFTPD avec une connexion cryptée SSL/TLS ?

  4. Comment cloner une partition de disque Linux sur le réseau à l'aide de dd

  5. Comment faire fonctionner le serveur TFTP sur CentOS 6.2

Comment activer TLS 1.3 dans Nginx

Comment créer un certificat TLS/SSL avec un opérateur Cert-Manager sur OpenShift

Comment générer des certificats SSL auto-signés à l'aide d'OpenSSL

Comment imprimer le répertoire de travail à l'aide de la commande Linux pwd ?

Comment rechercher LDAP à l'aide de ldapsearch (avec exemples)

Comment vérifier la date d'expiration d'un certificat TLS/SSL sur Ubuntu