Mise à jour des indications pour une communication TLS entre authentic2 et OpenLDAP
This commit is contained in:
parent
f2256439ae
commit
3827e6d12c
|
@ -116,6 +116,13 @@ export EDUGAIN_SCHAC_HOME_ORGANIZATION_TYPE="urn:schac:homeOrganizationType:int:
|
|||
|
||||
# Local port for listening -- NE PAS MODIFIER
|
||||
export BIND='127.0.0.1:8080'
|
||||
|
||||
# Utiliser TLS pour communiquer avec le serveur LDAP, 0 pour désactiver, 1 pour
|
||||
# activer, vous devez au préalable vous assurez que le certificat de votre
|
||||
# serveur LDAP sera reconnu, par exemple en le déclarant dans
|
||||
# /etc/ldap/ldap.conf avec la ligne
|
||||
# TLS_CAPATH /chemin/du/certificat_ou_du_certificat_racine
|
||||
export USE_TLS=0
|
||||
```
|
||||
|
||||
Le reste de la configuration d'Authentic, automatiquement modifiée par le
|
||||
|
@ -154,16 +161,20 @@ Une fois ces fichiers mis en place, il faut relancer le service:
|
|||
Connexion au serveur LDAP en SSL/TLS
|
||||
------------------------------------
|
||||
|
||||
Authentic se connecte au serveur LDAP en TLS.
|
||||
Pour demander à Authentic se connecte au serveur LDAP en TLS vous pouvez soit
|
||||
utiliser une URL de LDAP ayant comme mécanisme `ldaps://` ou bien définir
|
||||
`USE_TLS` à 1 dans le fichier `/etc/authentic2/supann.conf` pour utiliser la
|
||||
commande `STARTLS` sur une connexion LDAP en clair.
|
||||
|
||||
**Attention, le certificat du serveur LDAP doit être valide.** Si ce n'est pas
|
||||
le cas (par exemple lors de tests) vous devez modifier la configuration du
|
||||
client LDAP du système et lui dire de toujours accepter les certificat. Pour
|
||||
ce faire, ajouter la ligne suivante dans `/etc/ldap/ldap.conf`:
|
||||
|
||||
TLS_REQCERT allow
|
||||
TLS_REQCERT never
|
||||
|
||||
Au final, le fichier `/etc/ldap/ldap.conf` doit ressembler à cela :
|
||||
Pour activer la validation d'un certificat valide au final, le fichier
|
||||
`/etc/ldap/ldap.conf` doit ressembler à cela (en changeant le chemin vers le certificat):
|
||||
|
||||
```
|
||||
# cat /etc/ldap/ldap.conf
|
||||
|
@ -175,10 +186,12 @@ Au final, le fichier `/etc/ldap/ldap.conf` doit ressembler à cela :
|
|||
# This file should be world readable but not world writable.
|
||||
|
||||
# TLS certificates (needed for GnuTLS)
|
||||
TLS_CACERT /etc/ssl/certs/ca-certificates.crt
|
||||
TLS_REQCERT allow
|
||||
TLS_CACERT /chemin/du/certificat/ldap.pem
|
||||
TLS_REQCERT hard
|
||||
```
|
||||
|
||||
Le fichier de certificat doit être lisible par l'utilisateur authentic.
|
||||
|
||||
|
||||
Configuration d'Apache pour exposer Authentic
|
||||
=============================================
|
||||
|
|
Reference in New Issue