bonjour a tous 
alors voila j’ai mis en place un serveur ldap pour authentification pour des connexions ssh
selon son compte on a droit a ce connecter sur tel ou tel serveur.
Ca marchait bien jusqu’a ce que j’essaye de tout faire fonctionner en tls donc toujours sur le port 389 d’apres ce que j’ai pu voir a droit a gauche.
quand je lance mon serveur ldap (log ldap):
May 26 16:51:00 srvtest3 slapd[11794]: @(#) $OpenLDAP: slapd 2.3.27 (Jun 27 2007 08:48:26) $ brewbuilder@ls20-bc1-13.build.redhat.com:/builddir/bui
ld/BUILD/openldap-2.3.27/openldap-2.3.27/build-servers/servers/slapd
May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server
May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: could not search LDAP server - Server is unavailable
May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server
May 26 16:51:00 srvtest3 slapd[11794]: nss_ldap: could not search LDAP server - Server is unavailable
May 26 16:51:00 srvtest3 slapd[11794]: /etc/openldap/slapd.conf: line 34: rootdn is always granted unlimited privileges.
May 26 16:51:00 srvtest3 slapd[11794]: /etc/openldap/slapd.conf: line 40: rootdn is always granted unlimited privileges.
May 26 16:51:01 srvtest3 slapd[11795]: bdb_db_open: dc=mh,dc=org
May 26 16:51:01 srvtest3 slapd[11795]: slapd starting
/etc/openldap/ldap.conf :
host 127.0.0.1
port 389
base dc=mh,dc=org
uri ldap://srvtest3.test.org
ldap_version 3
TLS_REQCERT allow
/etc/ldap.conf
[code]# TLS
ssl start_tls
ssl on
Afin que le client puisse valider l’identitéu serveur, on doit le fournir la cléublique
du CA avec laquelle il pourra éblir que le certificat du serveur a bien é signéar
la clérivéde cette mê CA.
TLS_CACERT /usr/local/ssl/certs/ldap.crt
On demande élement au client de toujours valider l’identitéu serveur.
TLS_REQCERT demand
IP du serveur ldap
host srvtest3.test.org
Le DN de base pour effectuer les recherche
base dc=mh,dc=org
Optimisation de recherche dans la base
scope=one
Pour que le poste demarre meme si le server ldap ne repond pas
bind_policy soft
Version du protocole utilise
ldap_version 3
Port ecoute serveur
port 389
Filtres de validation dun utilisateur
pam_filter objectclass=account
pam_filter host=srvtest3.test.org
Attribut compare avec lindentifiant de connexion de lutilisateur
pam_login_attribute uid
Verification attribut host
pam_check_host_attr yes
DN groupe auquel il faut appartenir pour acces machine locale
pam_groupdn ou=group,dc=mh,dc=org
Definit lattribut dappartenance au groupe
pam_member_attribute member
password envoi serveur
pam_password crypt
Parametres nss-ldap de recherche
nss_base_passwd ou=user,dc=mh,dc=org?sub
nss_base_shadow ou=user,dc=mh,dc=org?sub
nss_base_group ou=group,dc=mh,dc=org?sub
nss_base_hosts ou=machines,dc=mh,dc=org?sub[/code]
quand j’essaye de me connecter en ssh avec un user ldap qui a bien les droit dans l’annuaire il reste bloqué ici :
ssh videl@192.168.2.217
videl@192.168.2.217's password:
et les log du serveur 192.168.2.217 :
May 26 16:53:40 srvtest3 sshd[11808]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server
May 26 16:53:40 srvtest3 sshd[11808]: nss_ldap: could not search LDAP server - Server is unavailable
May 26 16:53:40 srvtest3 sshd[11808]: Invalid user videl from 192.168.1.111
May 26 16:53:40 srvtest3 sshd[11809]: input_userauth_request: invalid user videl
May 26 16:53:46 srvtest3 sshd[11808]: nss_ldap: failed to bind to LDAP server ldap://srvtest3.test.org: Can't contact LDAP server
May 26 16:53:46 srvtest3 sshd[11808]: nss_ldap: could not search LDAP server - Server is unavailable
May 26 16:53:46 srvtest3 sshd[11808]: pam_unix(sshd:auth): check pass; user unknown
May 26 16:53:46 srvtest3 sshd[11808]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.111
si qqu a deja fait ce genre de chose je veux bien un ptit coup de main
merci d’avance