Merci pour votre réponse. J'essaierai en redémarrant le serveur ssh dès
demain en arrivant au boulot. En attendant, j'ai lu votre doc et j'en
profite pour poser quelques questions (en vrac au fur et à mesure qu'elles
me viennent ) :
- dans le fichier /etc/nsswitch.conf, quelle est la différence entre compat
et files ? Dans certaines docs, j'ai trouvé "passwd compat ldap" et dans
d'autres "passwd files ldap" (idem pour shadow et group). Même si ça
n'impacte pas vraiment mon problème, j'aimerais bien savoir quelle est la
différence entre les deux...
- comment faire pour que les clients acceptent un certificat TLS auto signé
? Je croyais que la ligne "TLS_REQCERT allow" du fichier ldap.conf servait à
ça, mais ça n'a pas l'air d'être le cas chez moi...
- dans le fichier slapd.conf, j'ai mis password-hash {MD5} ce qui, si j'ai
bien compris, fait que les mots de passe stockés dans ma base ldap sont
chiffrés en MD5 (je les génère avec slappasswd -h {MD5}). Par contre dans le
fichier ldap.conf, j'ai pam_password crypt, ce qui correspond, je crois qu
cryptage utilisé par défaut dans les fichiers locaux, mais comme je n'ai pas
d'idée très précise de l'utilité de cette ligne (je l'ai trouvée dans une
doc sans plus d'explications), je me demande si ça ne crée pas un pb avec la
première (et je n'ose pas trop la changer parce que le mot de passe du root
est lui stocké en local avec le système des shadow passwords et je n'ai pas
envie de casser ça sous peine de ne plus pouvoir me loguer en root). Si
quelqu'un pouvait m'éclairer à ce sujet...
- autre problème : dans certaines docs on localise la base par une uri et
dans d'autres par un host. Quelle est la différence entre les deux ?
Voilà, voilà, voilà...
En tout cas merci à vous de vous intéresser à mon problème et merci pour
tous ces pointeurs que je n'avais pas trouvés (et pourtant, j'en ai fouillé
des docs :-( !!! )
Bonne soirée.
Le 3 novembre 2008 17:37, Stephane Bortzmeyer <[EMAIL PROTECTED]> a écrit
:
> On Mon, Nov 03, 2008 at 12:58:11PM +0100,
> Jean-Max Redonnet <[EMAIL PROTECTED]> wrote
> a message of 495 lines which said:
>
> > Du coup, je me demande si j'ai besoin de TLS ou pas.
>
> TLS me semble une bonne idée.
>
> > En d'autre termes, avec le protocole ldap par défaut (celui qu'on
> > trouve en 389 généralement), est-ce que les mots de passe circulent
> > en clair sur le réseau ?
>
> Hélas oui.
>
> > J'ai aussi testé la connection SSH depuis le serveur lui-même :
> > $ ssh [EMAIL PROTECTED]
> > et ça marche pas ! dans auth.log, le module pam_ldap me sort un fatidique
> > "Invalid credentials"
>
> Vous aviez redémarré le serveur sshd ? Il ne lit les fichiers de
> configuration PAM et NSS qu'au démarrage...
>
> Ma doc :
>
> http://www.bortzmeyer.org/comptes-unix-ldap.html
>
