Soucis De Connexion Ldap

[Minus]

Bonjour à tous

je viens d'acquerir un syno RS814.

Il est sur le même réseau que mon serveur ldap (debian + openldap + samba)

Via la console du syno je ping sans soucis le serveur ldap

Je vais donc dans service d'annuaire, onglet ldap, je rentre l'ip du seveur ldap et la en chiffrement ou non, je clique sur la fleche pour choisir dc=mondomaine,dc=lan mais la case est vide et j'ai echec de la connexion au serveur ldap.

Si je me connecte via l'onglet domaine, qui est lui aussi géré par ce meme serveur distant, pas de soucis pour accéder au domaine et aux droits et user ldap

Avez vous deja rencontré ce type de probleme? Pouvez vous m'aider svp?

Par avance merci

[Fravadona]

Ton ldap est chiffré ?

[Minus]

Bonjour

Non, le ldap n'est pas chiffré, seuls les mots de passe le sont.

Ce n'est malheureusement pas moi qui ai monté ce serveur ldap

ce que je vois par contre dans /etc/ldap/, je ne sais pas si c'est important dans notre cas, c'est la generation d'un certificat via gentoossl.

et voila le message d'erreur present dans /var/log/messages du syno:

PhiNAS entry.cgi_SYNO.Core.Directory.LDAP.BaseDN[1].list[9038]: src/LDAP.cpp:436 SYNOLDAPBrowserSuggestBaseDN failed [0x2000 file_get_key_value.c:108]

Modifié le 5 décembre 2014 par Minus

[Fravadona]

D'apres ce message d'erreur c'est comme si tu t'etais trompe en donnant le basedn (dc=example,dc=com)

[Minus]

ben non je suis certain des infos de la basedn

[Fravadona]

bizare, je n'avais eu aucun souci avec ldap sous DSM4.3 (sans chiffrement)

T'as un linux dispo pour tester ?

ldapsearch -h serverldap -b 'dc=example,dc=com' -x 'objectclass=*'

[Minus]

Oui pas de soucis pour avoir un linux sous la main

Bizarre ca:

#ldapsearch -h serverldap -b 'dc=mondomaine,dc=lan' -x 'objectclass=*'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

[Fravadona]

Ton ldap n'a pas l'air de supporter l'authentification simple (il n'ecoute pas sur le port qui y correspondrait), il faut essayer en ssl

[Minus]

Bonjour

Merci je vais regarder cela également

D'un autre coté, j'ai configuré différemment le nas pour test:

Je l'ai inclus dans le domaine, il a bien récupéré les droits des membres et groupes, donc la je me dit que c'est gagné...je valide les droits d'accés répertoires maitres par repertoires maitres dans l'harborescence en prenant soin de vérifier que, dans l'éditeur de permission (clique droit sur le repertoire/propriétés), "appliquer à tous" soit bien coché.

Il se trouve qu'il n'applique pas les droits d'accés aux repertoires enfants. C'est un bug ou je m'y suis mal pris?.

Merci pour ton aide

[Minus]

Bonjour

Je viens de regarder les fichiers configs, voila ce que j'ai trouvé

/etc/ldap # less ldap.conf
#
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE dc=mondomaine,dc=lan
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666
#URI ldaps://samba.mondomaine.lan:636
URI ldaps://samba.mondomaine.lan:636 ldap://samba.mondomaine.lan:389


#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
TLS_CACERT /etc/ldap/tls/ca.cert.pem
#TLS_REQCERT demand
TLS_REQCERT never

et

/etc/ldap # less sldap.conf

TLSCACertificateFile /etc/ldap/tls/ca.cert.pem
TLSCertificateFile /etc/ldap/tls/annuaire.cert.pem
TLSCertificateKeyFile /etc/ldap/tls/annuaire.key.pem
TLSCipherSuite NORMAL
TLSVerifyClient never

donc le TLS est en place...

Je ne l'avait pas vu la derniere fois car les lignes de code n'étaient pas à leur place habituelle.

Comment faire maintenant pour que le nas puisse arriver a accéder à la base?

Par avance Merci

Modifié le 8 décembre 2014 par Minus

[Fravadona]

normalement tu dois installer le certificat publique de ton server LDAP sur le client (le NAS)

[Minus]

Merci

A tout hasard tu ne connais pas la procédure pour réaliser cela?

[Fravadona]

Je n'ai pas essayé sur le Syno mais je pense qu'il suffit de mettre la cle publique de ton serveur LDAP a cet endroit : /etc/ldap/tls/ca.cert.pem

[Minus]

Merci

Je vais tester ça sur mon petit NAS

Pour le moment, j'ai laissé le NAS en mode domaine (donc j'ai du reconstruire les droits 1 à 1 sur chaque répertoire) , et ca fonctionne assez bien je l'avoue malgré 25 users derriere qui tirent dessus.

si la copie de la clé fonctionne je reviendrai vous le faire savoir

Encore merci

[Minus]

Bonjour

Je reviens vers vous pour essayer d'avancer sur le sujet

le soucis premier est qu'il n'y a pas le répertoire /etc/ldap/tls/ sur le nas

par contre sur mon serveur acl j'ai bien /etc/ldap/tls/nomdemonsyno.cert.pem et nomdemonsyno.key.pem

je le copie les certificat ou?