Re: [LA-discussions] LDAP, LDAPS, TLS,...

[ Thread Index | Date Index | More linuxarverne.org/discussions Archives ]

To: discussions@xxxxxxxxxxxxxxxx
Subject: Re: [LA-discussions] LDAP, LDAPS, TLS,...
From: Romain Tartière <romain@xxxxxxxxxxxx>
Date: Tue, 13 Jul 2010 10:13:19 +0200
Dkim-signature: v=1; a=rsa-sha256; c=simple/simple; d=blogreen.org; s=default; t=1279008799; bh=xEgDQanXGHvAM3UAMquqkz2AjdYvWyDvmQX8uU8ap2Q=; h=Date:From:To:Subject:Message-ID:References:MIME-Version: Content-Type:In-Reply-To; b=sjIIp2HKK7cOFGEN7IG46MCZ2cgVIINtf5e/0ZaRPGugLtavdL3eh9GbnzNyuznM9 5YEabe1znij/8J37VHhss4pvE4t8GgDEqTc83fLS2A4SI3yoodspmnzp+RqwAZjUUK Gdqd00dc63/SYRJ1kcraw6MNVZ6EG8ziGKcKdEmc=

On Mon, Jul 12, 2010 at 06:18:33PM +0200, Matthieu wrote:
> Je suis entrain de réinstaller un serveur LDAP. J'aimerai sécurisé un
> minimum les informations présentes dans la base de donnée.
> J'ai donc installé les certificats auto-signé, configuré slapd,...
> 
> Je suis maintenant au test, et je me pose des questions,
> 
> ldapsearch -x -H ldap://serveur.reseau.tux (connexion normal non sécurisé)
> => OK
> ldapsearch -x -H ldaps://serveur.reseaux.tux => OK
> ldapsearch -x -H ldap://serveur.reseau.tux -ZZ => OK
> ldapsearch -x -H ldaps://serveur.reseaux.tux -ZZ => Ne fonctionne pas
> (erreur : ldap_start_tls: Operations error (1))
> 
> La doc donne ceci pour le paramètre -ZZ de ldapsearch :
> -Z         Start TLS request (-ZZ to require successful response)
> 
> Pour résumer :
> Ma connexion LDAP fonctionne en normal et en TLS
> Ma connexion LDAPS fonctionne uniquement sans TLS.
> 
> Mes questions sont les suivantes :
> 
> Faut-il utiliser LDAP+TLS ou LDAPS ?

LDAP+TLS est plus flexible et moins enquiquinant en ce qui concerne le
réseau puisqu'il permet de faire passer une connexion chiffrée ou claire
sur un seul port à ouvrir dans les firewalls.  TLS et SSL c'est presque
la même chose, mais je te laisse consulter une encyclopédie libre pour
plus de détails car je suis certain que ça sera plus complet que c'est
que pourrais dire.

> Comment être sûr que mes connexions LDAPS sont sécurisées ?

Voir ce qui concerne ssf (security strength factor) dans les page de man,
notamment slapd.conf(5) et slapd.access(5).

> TLS est-il incompatible avec LDAPS ou c'est ma configuration qui est
> mauvaise ?
D'un point de vue technique, rien n'empêche d'encapsuler du SSL dans du
SSL mais de là à dire que c'est implémenté dans OpenLDAP…

R

-- 
Romain Tartière <romain@xxxxxxxxxxxx>        http://romain.blogreen.org/
pgp: 8234 9A78 E7C0 B807 0B59  80FF BA4D 1D95 5112 336F (ID: 0x5112336F)
(plain text =non-HTML= PGP/GPG encrypted/signed e-mail much appreciated)

Attachment: pgpSdppxo3sZ5.pgp
Description: PGP signature

Follow-Ups:
- Re: [LA-discussions] LDAP, LDAPS, TLS,...
  - From: Matthieu

References:
- [LA-discussions] LDAP, LDAPS, TLS,...
  - From: Matthieu

Messages sorted by: [ date | thread ]
Prev by Date: Re: [LA-discussions] Re: plus de son sous xubuntu
Next by Date: Re: [LA-discussions] LDAP, LDAPS, TLS,...
Previous by thread: Re: [LA-discussions] LDAP, LDAPS, TLS,...
Next by thread: Re: [LA-discussions] LDAP, LDAPS, TLS,...

Mail converted by MHonArc 2.6.19+

http://listengine.tuxfamily.org/