[Topic unique] Serveur Openldap + Samba PDC + TLS

laster13 · Post by **laster13** » 21 Dec 2014 19:54

Bonsoir,

Parce que très peu d'infos circulent sur ce sujet et que velivole18 avait 2 rêves

, et aussi parce que le thème m’intéresse

, j'ai commencé à regarder comment on pourrait configurer un serveur OpenLDAP sur Nas4free.

Je vais avoir besoin de tes compétences en la matière velivole18 car je ne connais strictement rien quand au mode de fonctionnent de OpenLDAP. Concernant le service Ldap de nas4free, est ce un client ou un serveur ? Et pourquoi ne fonctionne t il pas ?

Quoiqu'il en soit j'ai commencé à travailler dessus, voilà ou j'en suis

Tout d'abord j'ai crée une jail avec TheBrig et j ai ensuite installé les ports à l'intérieur

Code: Select all

portsnap fetch extract

Ensuite j'ai compilé OpenLDAP avec les options suivantes:
BDB, Dynamic_Backends, SASL, SEQMOD, SYNCPROV, TCP_WRAPPERS
Pour activer ces options, il faut attendre qu un écran bleu apparaisse, puis surligner la ligne concernée et taper sur la barre espace

Code: Select all

cd /usr/ports/net/openldap24-server

Code: Select all

make install clean

Il faut une 1/2 heure environ et lorsqu il y a un ecran bleu, il suffit d'appuyer sur la touche entrée.

Pour des raisons de sécurité, il semble que le TLS soit recommandé donc je crée les cles

Code: Select all

openssl genrsa -out cert.key 1024

Code: Select all

openssl req -new -key cert.key -out cert.csr

Code: Select all

openssl x509 -req -in cert.csr -days 365 -signkey cert.key -out cacert.crt

donc j'ai mes 3 cles

cert.key
cert.csr
cacert.crt

il faut que j edite le fichier "slapd.conf" pour préciser le chemin des clés

Code: Select all

edit /usr/local/etc/openldap/slapd.conf

et je rajoute ces lignes en précisant le dossier qui contient les clés

Code: Select all

security ssf=128

TLSCertificateFile /path/to/your/cert.crt
TLSCertificateKeyFile /path/to/your/cert.key
TLSCACertificateFile /path/to/your/cacert.crt

ensuite

Code: Select all

edit /etc/rc.conf

et je rajoute la ligne suivante

Code: Select all

slapd_enable="YES"

je demarre slapd

Code: Select all

/usr/local/etc/rc.d/slapd start

et là message erreur

Code: Select all

root@openldap:/ # /usr/local/etc/rc.d/slapd start
Starting slapd.
/usr/local/etc/rc.d/slapd: WARNING: failed to start slapd

Si j'enleve le paragraphe dans slapd.conf concernant les clés alors la cela fonctionne

Code: Select all

root@openldap:/ # /usr/local/etc/rc.d/slapd start
Starting slapd.
root@openldap:/ #

Je dois faire une erreur dans ces lignes mais pour l'instant je cale

sinon donc sans le TLS cela fonctionne

Code: Select all

root@openldap:/ # sockstat -4 -p 389
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
ldap     slapd      74725 6  tcp4   192.168.0.106:389     *:*

Code: Select all

root@openldap:/ # /usr/local/etc/rc.d/slapd status
slapd is running as pid 74725.

Voila ou j'en suis, je poursuis. Toi qui l'a installé sur raspberry velivole18, peux tu me dire si c'est la bonne orientation?

laster13 · Post by **laster13** » 21 Dec 2014 20:47

Pour phpldapadmin

Code: Select all

cd /usr/ports/net/phpldapadmin

Code: Select all

make install clean

A priori il faut également installer tout le package php

Code: Select all

cd /usr/ports/lang/php5
make install clean

cd /usr/ports/www/mod_php5
make install clean

cd /usr/ports/lang/php5-extensions/
make install clean

Post by **velivole18** » 22 Dec 2014 01:20

Bonsoir,

Tu vas trop vite pour moi !
En effet, j'avais installé OpenLdap sur une Debian sur Raspberry Pi.
J'avais réussi à connecter mes postes clients Ubuntu dessus, mais pas Nas4Free.
Pour l'installation, je ne m'étais pas cassé la tête, un apt-get install avait suffit !
Pour la question au sujet du service Nas4Free Ldap, à savoir est-ce un client ou un serveur, j'ai maintes fois posé la question, sans réponse.
En fait je pense que c'est plutôt un client, car il ne me semble pas que dans le code de Nas4Free on y troupe le programme "slapd".
Je pense que si on utilise le service Ldap de Nas4Free, c'est pour qu'il aille interroger en tant que client le serveur externe OpenLdap plutôt que d'exploiter sa propre base de users et de groupes. Encore faut-il stocker les bonnes informations sur les users et groupes dans le serveur externe OpenLdap avec une organisation des données correctes par rapport à ce qu'attend Nas4Free, donc à peu prêt à l'identique des infos que nous remplissons lors de la déclaration d'un user ou d'un groupe.
Concernant mon Raspberry Pi, je l'ai recyclé en serveur XBMC, ce qui fait le bonheur de la famille

J’essaierai de regarder cela demain, enfin aujourd'hui, car il est très tard (ou très tôt) maintenant.
Je te propose de prendre un peu de repos car tu travailles comme un fou pour la communauté Nas4Free (et c'est tout à ton honneur).
Je vais tenter de dégager un peu de temps pour me replonger sur le problème.
Mais il est évident que si tu arrives à faire fonctionner un OpenLdap pour Nas4Free et ses postes cleints, tu sera certainement le 1er sur l'ensemble du forum, car malgré de nombreuses recherches, je n'ai rien trouvé de bien probant, et je pense que la communauté entière te devra une fière chandelle !
Bonne nuit.

Cordialement.

Post by **velivole18** » 22 Dec 2014 23:49

Bonsoir,

Plusieurs questions que j'aurais du poser en premier si j'étais plus intelligent.
Ceci ne remet pas forcément en cause l'installation d'un OpenLdap sur Nas4Free, mais il me semble bon de réfléchir un peu avant :

1 - si j'installe pour une première expérience une Full Nas4Free en virtualBox, avec une installation réseau par pont, j'aurai bien une adresse pour le serveur Nas4free, une autre pour la jail et une autre pour le serveur OpenLdap ?

2 - Admettons que la jail soit installée avec OpenLdap.
Nas4Free arrivera à voir et à se connecter sur OpenLdap, même si en fait le tout est sur la même machine ? cela se fera en loopback sur la carte réseau locale via le pont VirtualBox ?

3 - Les droits d'accès sur Nas4Free apparaissent à 2 endroits :
- au moment de déclarer un jeu de données, ce qui positionne les droits sur la racine du jeu de données
- en ssh, les droits sont visibles pour chaque répertoire et fichier
Donc, en allant chercher les caractéristiques des users et groupes dans Ldap, comment fait Nas4Free pour en tenir compte et les appliquer sur l'arborescence de FreeBSD, ou plus particulièrement des arborescences zfs ? Ou alors Nas4Free se contente d'aller chercher les users et groupes sans plus et donc cela ne permettrait pas plus de gérer les droits via OpenLdap. Ce serait de toute façon un 1er avantage que de donner les mêmes uid et gid pour toutes les machines, ce qui rendrait à ce niveau le tout cohérent.

4 - je n'ai jamais trouvé l'organisation et la définition des données à stocker dans Ldap.
Créer un user et un groupe, je sais faire, c'est assez classique. Mais déclarer les droits pour Nas4Free, je ne sais pas.
Est-ce qu'un schéma comme on pourrait le faire pour un linux classique suffirait ?

5 - Dans mon esprit, comme je n'ai que des machines Linux, je n'ai pas de problème. Mais sachant que Windows fonctionne plus avec AD, est-ce qu'une machine windows pourrait tirer profit d'OpenLdap ? A mon boulot, une machine Linux dans notre environnement 100% Windows pose toujours problème à ce niveau là. On aura donc les mêmes soucis à la maison ? Pour les utilisateurs de Nas4Free qui n'ont que des clients Windows, ce ne sera donc pas forcément intéressant ?

Je suis encore débutant et tout n'est pas clair dans ma tête. Pardon.

En tout cas, mon blocage avec OpenLdap sur Raspberry Pi était déjà au niveau de la connexion.
On peut se donner pour 1er objectif d'essayer de faire se connecter Nas4Free à OpenLdap, après on verra, ce n'est plus du Nas4Free, c'est du paramétrage de la base de données Ldap.

Demain, je règle quelques activités d'ordre privée et je fais ton installation sur une VirtualBox, c'est plus pratique.
Je te tiens au courant.

Si quelqu'un peut apporter quelques réponses, il est le bienvenue.

Cordialement.

Post by **velivole18** » 23 Dec 2014 14:34

Bonjour,

Je viens de faire la même installation que la tienne.
Le message d'erreur obtenu au lancement est :
Starting slapd.
Unrecognized database type (mdb)
/usr/local/etc/rc.d/slapd: WARNING: failed to start slapd

Mon installation a duré presque 4 heures, mais je suis sur un pauvre serveur sur HP pentium 4 !!!

Je poursuis ...

Bon, même sans l'étape des clés, ça ne fonctionne pas.

Je pense que je vais reprendre à zéro.
Mais en virtualbox cette fois-ci.
Peut-être ça ira plus vite.

Cordialement.

laster13 · Post by **laster13** » 23 Dec 2014 15:06

Bonjour,

Pour l'erreur, il faut décommenter la ligne suivante dans /usr/local/etc/openldap/slapd.conf (dans la jail)

Code: Select all

moduleload back mdb

La compilation m'a pris une demi heure avec mon dual core.

Bon courage, dès que j'ai un moment je m'y remets aussi

Avec les fêtes pas facile

Post by **velivole18** » 23 Dec 2014 15:10

Bonjour,

Ah oui, là ça marche mieux.
Je continue donc ...

Merci.

Cordialement.

Post by **velivole18** » 23 Dec 2014 18:38

Bonsoir,
L'installation de phpmyadmin me donne l'erreur suivante :

Code: Select all

** Cannot use both --enable-pcretest-libedit and --enable-pcretest-readline
===>  Script "configure" failed unexpectedly.
Please report the problem to bf@FreeBSD.org [maintainer] and attach the
"/usr/ports/devel/pcre/work/pcre-8.35/config.log" including the output of the
failure of your make command. Also, it might be a good idea to provide an
overview of all packages installed on your system (e.g. a
/usr/local/sbin/pkg-static info -g -Ea).
*** [do-configure] Error code 1

Stop in /usr/ports/devel/pcre.
*** [install] Error code 1

Stop in /usr/ports/devel/pcre.
*** [lib-depends] Error code 1

Stop in /usr/ports/lang/php5.
*** [install] Error code 1

Stop in /usr/ports/lang/php5.
*** [run-depends] Error code 1

Stop in /usr/ports/net/phpldapadmin.

et celle de php :

Code: Select all

** Cannot use both --enable-pcretest-libedit and --enable-pcretest-readline
===>  Script "configure" failed unexpectedly.
Please report the problem to bf@FreeBSD.org [maintainer] and attach the
"/usr/ports/devel/pcre/work/pcre-8.35/config.log" including the output of the
failure of your make command. Also, it might be a good idea to provide an
overview of all packages installed on your system (e.g. a
/usr/local/sbin/pkg-static info -g -Ea).
*** [do-configure] Error code 1

Stop in /usr/ports/devel/pcre.
*** [install] Error code 1

Stop in /usr/ports/devel/pcre.
*** [lib-depends] Error code 1

Stop in /usr/ports/lang/php5.
*** [install] Error code 1

Stop in /usr/ports/lang/php5.

Mais je pense avoir trouvé le problème.
J'ai sélectionné à la fois l'option readline et libedit et je pense que je n'aurai pas dû.
Je vais recommencer.

Ce que je ne comprends pas, c'est que j'ai fais toutes ces manip avec la jail éteinte.
Fallait-il la lancer auparavant ?

Merci.

Post by **velivole18** » 23 Dec 2014 18:52

Bonsoir,

Non, je ne peux pas compiler plus. Il me donne la même erreur.
J'ai fais un make clean afin de revenir à une situation propre pour le fichier configure, puis make install clean, mais j'obtiens la même erreur.
Je vais chercher.

Cordialement.

Post by **velivole18** » 23 Dec 2014 18:59

Bonsoir,

Tu saurai me dire où est l'équivalent du fichier .configure ?
Je pense qu'un make clean n'est pas suffisant, il me faut reconstruire l'équivalent du fichier configure.
Je pense que c'est la génération de cet équivalent qui me demande les options via les écrans bleus.
J'avoue ne pas avoir de connaissance en FreeBSD sur le sujet de la génération de code.
Je suis plus à l'aise en Ubuntu.

Merci.

laster13 · Post by **laster13** » 23 Dec 2014 19:35

Bonsoir,

velivole18 wrote:Ce que je ne comprends pas, c'est que j'ai fais toutes ces manip avec la jail éteinte.
Fallait-il la lancer auparavant ?

Oui il faut que la jail soit lancée et u y accedes en tapant jexec 1 csh si tu n'as qu'une seule jail.

Je tente une compil php et je reviens vers toi. cela devrait fonctionner puisque c est comme cela que j'ai installe php + mysql et phpmyadmin dans une jail

edit: resultat de la compil ( 7 mn )

Code: Select all

cd /usr/ports/lang/php5

make install clean

Aucune erreur

Code: Select all

===>  Cleaning for autoconf-2.69
===>  Cleaning for pcre-8.35_2
===>  Cleaning for libxml2-2.9.2_2
===>  Cleaning for m4-1.4.17_1,1
===>  Cleaning for help2man-1.43.3_1
===>  Cleaning for autoconf-wrapper-20131203
===>  Cleaning for pkgconf-0.9.7
===>  Cleaning for p5-Locale-gettext-1.05_4
===>  Cleaning for gmake-lite-4.1_1
===>  Cleaning for php5-5.4.35
root@openldap:/usr/ports/lang/php5 #
root@openldap:/usr/ports/lang/php5 #

Peut etre parce que tu n'as pas activé la jail

L'équivalent de ./configure est make config

Du coup il va falloir un serveur aussi pour travailler dans phpldapadmin non?

Post by **velivole18** » 23 Dec 2014 20:29

Bonsoir,

Ok merci, j'étais entré dans la Jail sans la lancer.
La commande "jexec 1 csh" est équivalente au lancement de la Jail en cliquant dans le webgui sur le bouton vert ?
Ou est-ce 2 actions différentes ?

Je vais faire un make config.
J'ai vu aussi que le serveur ldap existe en binaire et qu'il peut s'installer avec pkg-add.
Ne serait-ce pas plus simple pour une 1ère fois ?
(Tu vois, je reprends FreeBSD depuis le début, je commence à lire le book en français).

Concernant phpldapadmin, je ne vois pas pourquoi il ne pourrait pas fonctionner dans la même jail que le serveur OpenLdap.
L'utilisation d'OpenLdap en terme de CPU est RIDICULE et phpldapadmin qui est client d'OpenLdap peut fonctionner en même temps que le serveur.
D'un point de vue de Linuxien branché Bases de Données, je ne vois aucun problème.

Sinon, pour vider le contenu d'une Jail et la rendre "propre" pour une nouvelle expérience sans supprimer et recréer la Jail, c'est possible ?

Merci.

laster13 · Post by **laster13** » 23 Dec 2014 20:46

Bonsoir,

velivole18 wrote:La commande "jexec 1 csh" est équivalente au lancement de la Jail en cliquant dans le webgui sur le bouton vert ?

Le bouton vert sert à activer la jail donc la démarrer.
"jexec 1 csh" sert à rentrer dedans en ssh.

velivole18 wrote:J'ai vu aussi que le serveur ldap existe en binaire et qu'il peut s'installer avec pkg-add

Je viens à l'instant de le faire et effectivement cela fonctionne sauf que la compil sert à personnaliser le package.

laster13 wrote:BDB, Dynamic_Backends, SASL, SEQMOD, SYNCPROV, TCP_WRAPPERS
Pour activer ces options, il faut attendre qu un écran bleu apparaisse, puis surligner la ligne concernée et taper sur la barre espace

.
c'est pour cette raison que je suis passé par la compil.

Par contre pour les packages php5 et phpldapadmin je pense qu 'on peut passer par pkg_add -r.

velivole18 wrote:Concernant phpldapadmin, je ne vois pas pourquoi il ne pourrait pas fonctionner dans la même jail que le serveur OpenLdap.
L'utilisation d'OpenLdap en terme de CPU est RIDICULE et phpldapadmin qui est client d'OpenLdap peut fonctionner en même temps que le serveur.
D'un point de vue de Linuxien branché Bases de Données, je ne vois aucun problème.

Concernant phpldapadmin, et c'est là où j'ai encore beaucoup de mal à visualiser le mode de fonctionnement du serveur openladp, je me disais que si phpldapadmin est l'équivalent de phpmyadmin alors pour s'en servir il fallait passer par une interface web avec support mysql, à moins que le serveur openladp ai sa propre base de donnée. C'est pour cela que je te parlais d'un serveur apache ou lighttpd. Qu'en penses tu?

Rendre une jail propre

je sais pas faire. En général j'en recrée une. Ce qu'il y a d'interessant avec les jails c'est qu'on peut les assimiler à des bases d'entrainement

et c'est souvent le parcours du combattant à l'interieur

. On peut en creer, les effacer, cela n'atteind jamais l'integrité du systeme Nas4free. A consommer sans modération

Post by **velivole18** » 23 Dec 2014 23:00

Bonsoir,

phpldapadmin est effectivement une interface web pour OpenLdap mais n'a pas besoin de mysql puisqu'il s'appuie directement sur OpenLdap.
En fait cela permet via une interface web d'administrer OpenLdap à la place des commandes en ligne.
Par contre, il faut bien un serveur web + php.

Je reprends tout demain.
Je viens de supprimer mes jails qui m'ont servi à bidouiller ces 2 derniers jours et tôt demain matin je lancerai la création d'une jail + installation d'OpenLdap en espérant que ce soit fini vers midi. D'ailleurs, qu'est-ce-que c'est long sur un pentium 4 les jails !!! Même pour les supprimer c'est hyper long ! Je veux un pentium 7 dernier cri pour Noël !!!

Sur Raspberry pi, l'installation de phpldapadmin avec un apt-get install n'avait posé aucun problème ...

A demain donc.
Je te rappelle tout de même, laster13, que tu as un repas de Noël à assurer, des cadeaux à mettre au pied du sapin et une bûche (au chocolat ?) à couper

. Bref, tu as le droit de faire une trêve. Les burn-out sont interdits sur le forum de Nas4Free !

Cordialement.

Post by **velivole18** » 24 Dec 2014 13:18

Bonjour,

Voilà mes travaux de ce matin :

Code: Select all

root@OpenLdap:/ # pkg_add -r openldap24-server
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/Latest/openldap24-server.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/openldap-client-2.4.35.tbz... Done.

************************************************************

The OpenLDAP client package has been successfully installed.

Edit
  /usr/local/etc/openldap/ldap.conf
to change the system-wide client defaults.

Try `man ldap.conf' and visit the OpenLDAP FAQ-O-Matic at
  http://www.OpenLDAP.org/faq/index.cgi?file=3
for more information.

************************************************************

Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/libltdl-2.4.2.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/db46-4.6.21.4.tbz... Done.
===> Creating users and/or groups.
Creating group 'ldap' with gid '389'.
Creating user 'ldap' with uid '389'.

************************************************************

The OpenLDAP server package has been successfully installed.

In order to run the LDAP server, you need to edit
  /usr/local/etc/openldap/slapd.conf
to suit your needs and add the following lines to /etc/rc.conf:
  slapd_enable="YES"
  slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/"'
  slapd_sockets="/var/run/openldap/ldapi"

Then start the server with
  /usr/local/etc/rc.d/slapd start
or reboot.

Try `man slapd' and the online manual at
  http://www.OpenLDAP.org/doc/
for more information.
  
slapd runs under a non-privileged user id (by default `ldap'),
see /usr/local/etc/rc.d/slapd for more information.

************************************************************

root@OpenLdap:/ # 
root@OpenLdap:/ # pkg_add -r phpldapadmin
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/Latest/phpldapadmin.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/pkgconf-0.9.2_1.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/pcre-8.33.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/libiconv-1.14_1.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/libxml2-2.8.0_2.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/php5-5.4.17.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/php5-xml-5.4.17.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/php5-session-5.4.17.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/php5-openssl-5.4.17.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/php5-ldap-5.4.17.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/php5-iconv-5.4.17.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/php5-hash-5.4.17.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/gettext-0.18.3.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/All/php5-gettext-5.4.17.tbz... Done.
===> Creating users and/or groups.
Using existing group 'www'.


phpldapadmin-1.2.3,1 has been installed into:

    /usr/local/www/phpldapadmin

Please edit config.php to suit your needs.

To make phpLDAPadmin available through your web site, I suggest that
you add something like the following to httpd.conf:

    Alias /phpldapadmin/ "/usr/local/www/phpldapadmin/htdocs/"

    <Directory "/usr/local/www/phpldapadmin/htdocs">
        Options none
        AllowOverride none

        Order Deny,Allow
        Deny from all
        Allow from 127.0.0.1 .example.com
    </Directory>


root@OpenLdap:/ # 
root@OpenLdap:/ # pkg_add -r lighttpd
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-9.2-release/Latest/lighttpd.tbz... Done.
root@OpenLdap:/ # vi /usr/local/etc/lighttpd/lighttpd.conf

A priori, il ne reste plus qu'à configurer correctement lighttpd, php, phpldapadmin et openldap.
Pour l'instant, j'ai réussi à démarrer lighttpd en modifiant les lignes suivantes du fichier "/usr/local/etc/lighttpd/lighttpd.conf" :
- remplacement de :
var.server_root = "/usr/local/www/data"
par
var.server_root = "/usr/local/www"

- Mise en commentaire de : server.use-ipv6 = "enable"

- Remplacement de
server.bind = "localhost"
par
server.bind = "192.168.0.61"
sachant que ma jail est en 192.168.0.61

- Remplacement de
server.document-root = "/usr/local/www/data/"
par
server.document-root = "/usr/local/www/"

Remplacement de
$SERVER["socket"] == "0.0.0.0:80" { }
par
$SERVER["socket"] == "192.168.0.61:80" { }
sachant que ma jail est en 192.168.0.61

Voilà où j'en suis.
Maintenant avec mon navigateur, le lien "192.168.0.61" m'indique 404 - Not Found et ""192.168.0.61:80/phpldapadmin" m'indique 403 - Forbidden

Je continue ...

Cordialement

laster13 · Post by **laster13** » 24 Dec 2014 13:38

Bonjour,

Tu as bien avancé, là à mon avis tu en es pas loin.. Concernant le document root et serveur root, tu l'as défini sur le dossier www. As tu mis le dossier phpldapadmin dans ce dossier?

Post by **velivole18** » 24 Dec 2014 14:02

Bonjour,

oui effectivement, "phpldapadmin/" est dans "/usr/local/www".
Les fichiers à configurer correctement sont, je pense :

/etc/rc.conf
/usr/local/etc/php.conf
/usr/local/etc/lighttpd/lighttpd.conf
/usr/local/etc/openldap/slapd.conf
/usr/local/www/phpldapadmin/config/config.php

Je vais essayer de trouver.
Le principe est de mettre en œuvre ces 2 services (lighttpd et slapd) à l'adresse de la jail mais sur des ports différents, est bien cela ?
Et phpldapadmin sera mis en oeuvre via le navigateur en appelant sa page d'accueil à l'adresse du serveur lighttpd ? Et en configurant ce dernier avec l'adresse de la jail et le port de slapd il trouvera par lui-même le serveur ldap ? (un peu comme phpmyadmin)

Cordialement.

Post by **velivole18** » 24 Dec 2014 14:50

Bonjour,

1er point, je m'attaque à lighttpd.
Ce que je ne comprends pas, c'est que j'ai paramétré le fichier de config "/usr/local/etc/rc.d/lighttpd" avec le port 80,
que lighttpd se lance bien mais sur le port 8080 et non pas 80 !
C'est bizarre !

Voici mon fichier de conf. "/usr/local/etc/rc.d/lighttpd" :

Code: Select all

#######################################################################
##
## /usr/local/etc/lighttpd/lighttpd.conf
##
## check /usr/local/etc/lighttpd/conf.d/*.conf for the configuration of modules.
##
#######################################################################

#######################################################################
##
## Some Variable definition which will make chrooting easier.
##
## if you add a variable here. Add the corresponding variable in the
## chroot example aswell.
##
var.log_root    = "/var/log/lighttpd"
#--- debut velivole18
#var.server_root = "/usr/local/www/data"
var.server_root = "/usr/local/www"
#--- fin velivole18
var.state_dir   = "/var/run"
var.home_dir    = "/var/spool/lighttpd"
var.conf_dir    = "/usr/local/etc/lighttpd"

##
## run the server chrooted.
##
## This requires root permissions during startup.
##
## If you run Chrooted set the the variables to directories relative to
## the chroot dir.
##
## example chroot configuration:
##
#var.log_root    = "/logs"
#var.server_root = "/"
#var.state_dir   = "/run"
#var.home_dir    = "/lib/lighttpd"
#var.vhosts_dir  = "/vhosts"
#var.conf_dir    = "/etc"
#
#server.chroot   = "/srv/www"

##
## Some additional variables to make the configuration easier
##

##
## Base directory for all virtual hosts
##
## used in:
## conf.d/evhost.conf
## conf.d/simple_vhost.conf
## vhosts.d/vhosts.template
##
var.vhosts_dir  = server_root + "/vhosts"

##
## Cache for mod_compress
##
## used in:
## conf.d/compress.conf
##
var.cache_dir   = "/var/cache/lighttpd"

##
## Base directory for sockets.
##
## used in:
## conf.d/fastcgi.conf
## conf.d/scgi.conf
##
var.socket_dir  = home_dir + "/sockets"

##
#######################################################################

#######################################################################
##
## Load the modules.
include "modules.conf"

##
#######################################################################

#######################################################################
##
##  Basic Configuration
## ---------------------
##
server.port = 80

##
## Use IPv6?
##
#--- debut velivole18 (mise en commentaire)
#server.use-ipv6 = "enable"
#--- fin velivole18

##
## bind to a specific IP
##
#--- debut velivole18
#server.bind = "localhost"
server.bind = "192.168.0.61"
#--- fin velivole18

##
## Run as a different username/groupname.
## This requires root permissions during startup.
##
server.username  = "www"
server.groupname = "www"

##
## enable core files.
##
#server.core-files = "disable"

##
## Document root
##
#--- debut velivole18
#server.document-root = "/usr/local/www/data/"
server.document-root = "/usr/local/www/"
#--- fin velivole18

##
## The value for the "Server:" response field.
##
## It would be nice to keep it at "lighttpd".
##
#server.tag = "lighttpd"

##
## store a pid file
##
server.pid-file = state_dir + "/lighttpd.pid"

##
#######################################################################

#######################################################################
##
##  Logging Options
## ------------------
##
## all logging options can be overwritten per vhost.
##
## Path to the error log file
##
server.errorlog             = log_root + "/error.log"

##
## If you want to log to syslog you have to unset the
## server.errorlog setting and uncomment the next line.
##
#server.errorlog-use-syslog = "enable"

##
## Access log config
##
include "conf.d/access_log.conf"

##
## The debug options are moved into their own file.
## see conf.d/debug.conf for various options for request debugging.
##
include "conf.d/debug.conf"

##
#######################################################################

#######################################################################
##
##  Tuning/Performance
## --------------------
##
## corresponding documentation:
## http://www.lighttpd.net/documentation/performance.html
##
## set the event-handler (read the performance section in the manual)
##
## possible options on linux are:
##
## select
## poll
## linux-sysepoll
##
## linux-sysepoll is recommended on kernel 2.6.
##
server.event-handler = "freebsd-kqueue"

##
## The basic network interface for all platforms at the syscalls read()
## and write(). Every modern OS provides its own syscall to help network
## servers transfer files as fast as possible
##
## linux-sendfile - is recommended for small files.
## writev         - is recommended for sending many large files
##
server.network-backend = "writev"

##
## As lighttpd is a single-threaded server, its main resource limit is
## the number of file descriptors, which is set to 1024 by default (on
## most systems).
##
## If you are running a high-traffic site you might want to increase this
## limit by setting server.max-fds.
##
## Changing this setting requires root permissions on startup. see
## server.username/server.groupname.
##
## By default lighttpd would not change the operation system default.
## But setting it to 2048 is a better default for busy servers.
##
server.max-fds = 2048

##
## Stat() call caching.
##
## lighttpd can utilize FAM/Gamin to cache stat call.
##
## possible values are:
## disable, simple or fam.
##
server.stat-cache-engine = "simple"

##
## Fine tuning for the request handling
##
## max-connections == max-fds/2 (maybe /3)
## means the other file handles are used for fastcgi/files
##
server.max-connections = 1024

##
## How many seconds to keep a keep-alive connection open,
## until we consider it idle.
##
## Default: 5
##
#server.max-keep-alive-idle = 5

##
## How many keep-alive requests until closing the connection.
##
## Default: 16
##
#server.max-keep-alive-requests = 16

##
## Maximum size of a request in kilobytes.
## By default it is unlimited (0).
##
## Uploads to your server cant be larger than this value.
##
#server.max-request-size = 0

##
## Time to read from a socket before we consider it idle.
##
## Default: 60
##
#server.max-read-idle = 60

##
## Time to write to a socket before we consider it idle.
##
## Default: 360
##
#server.max-write-idle = 360

##
##  Traffic Shaping
## -----------------
##
## see /usr/share/doc/lighttpd/traffic-shaping.txt
##
## Values are in kilobyte per second.
##
## Keep in mind that a limit below 32kB/s might actually limit the
## traffic to 32kB/s. This is caused by the size of the TCP send
## buffer.
##
## per server:
##
#server.kbytes-per-second = 128

##
## per connection:
##
#connection.kbytes-per-second = 32

##
#######################################################################

#######################################################################
##
##  Filename/File handling
## ------------------------

##
## files to check for if .../ is requested
## index-file.names            = ( "index.php", "index.rb", "index.html",
##                                 "index.htm", "default.htm" )
##
index-file.names += (
  "index.xhtml", "index.html", "index.htm", "default.htm", "index.php"
)

##
## deny access the file-extensions
##
## ~    is for backupfiles from vi, emacs, joe, ...
## .inc is often used for code includes which should in general not be part
##      of the document-root
url.access-deny             = ( "~", ".inc" )
##
## disable range requests for pdf files
## workaround for a bug in the Acrobat Reader plugin.
##
$HTTP["url"] =~ "\.pdf$" {
  server.range-requests = "disable"
}

##
## url handling modules (rewrite, redirect)
##
#url.rewrite                = ( "^/$"             => "/server-status" )
#url.redirect               = ( "^/wishlist/(.+)" => "http://www.example.com/$1" )

##
## both rewrite/redirect support back reference to regex conditional using %n
##
#$HTTP["host"] =~ "^www\.(.*)" {
#  url.redirect            = ( "^/(.*)" => "http://%1/$1" )
#}

##
## which extensions should not be handle via static-file transfer
##
## .php, .pl, .fcgi are most often handled by mod_fastcgi or mod_cgi
##
static-file.exclude-extensions = ( ".php", ".pl", ".fcgi", ".scgi" )

##
## error-handler for status 404
##
#server.error-handler-404   = "/error-handler.html"
#server.error-handler-404   = "/error-handler.php"

##
## Format: <errorfile-prefix><status-code>.html
## -> ..../status-404.html for 'File not found'
##
#server.errorfile-prefix    = "/srv/www/htdocs/errors/status-"
##
## mimetype mapping
##
include "conf.d/mime.conf"

##
## directory listing configuration
##
include "conf.d/dirlisting.conf"

##
## Should lighttpd follow symlinks?
##
server.follow-symlink = "enable"

##
## force all filenames to be lowercase?
##
#server.force-lowercase-filenames = "disable"

##
## defaults to /var/tmp as we assume it is a local harddisk
##
server.upload-dirs = ( "/var/tmp" )

##
#######################################################################


#######################################################################
##
##  SSL Support
## -------------
##
## To enable SSL for the whole server you have to provide a valid
## certificate and have to enable the SSL engine.::
##
##   ssl.engine = "enable"
##   ssl.pemfile = "/path/to/server.pem"
##
## The HTTPS protocol does not allow you to use name-based virtual
## hosting with SSL. If you want to run multiple SSL servers with
## one lighttpd instance you must use IP-based virtual hosting: ::
##
##   $SERVER["socket"] == "10.0.0.1:443" {
##     ssl.engine                  = "enable"
##     ssl.pemfile                 = "/etc/ssl/private/www.example.com.pem"
##     #
##     # Mitigate BEAST attack:
##     #
##     # A stricter base cipher suite. For details see:
##     # http://blog.ivanristic.com/2011/10/mitigating-the-beast-attack-on-tls.html
##     #
##     ssl.cipher-list             = "ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"
##     #
##     # Make the server prefer the order of the server side cipher suite instead of the client suite.
##     # This is necessary to mitigate the BEAST attack (unless you disable all non RC4 algorithms).
##     # This option is enabled by default, but only used if ssl.cipher-list is set.
##     #
##     # ssl.honor-cipher-order = "enable"
##     #
##     # Mitigate CVE-2009-3555 by disabling client triggered renegotation
##     # This is enabled by default.
##     #
##     # ssl.disable-client-renegotiation = "enable"
##     #
##     server.name                 = "www.example.com"
##
##     server.document-root        = "/srv/www/vhosts/example.com/www/"
##   }
##

## If you have a .crt and a .key file, cat them together into a
## single PEM file:
## $ cat /etc/ssl/private/lighttpd.key /etc/ssl/certs/lighttpd.crt \
##   > /etc/ssl/private/lighttpd.pem
##
#ssl.pemfile = "/etc/ssl/private/lighttpd.pem"
##
## optionally pass the CA certificate here.
##
##
#ssl.ca-file = ""

##
#######################################################################

#######################################################################
##
## custom includes like vhosts.
##
#include "conf.d/config.conf"
#include_shell "cat /usr/local/etc/lighttpd/vhosts.d/*.conf"
##
#######################################################################

# IPv4 listening socket
#--- debut velivole18
#$SERVER["socket"] == "0.0.0.0:80" { }
$SERVER["socket"] == "192.168.0.61:80" { }
#--- fin velivole18

Cordialement.

Post by **velivole18** » 24 Dec 2014 15:02

Bonjour,

La jail (une jail en général) n'aurait-elle pas un serveur web par défaut d'installé ?
D'ailleurs, lorsque je stoppe lighttpd, j'ai toujours accès à 192.168.0.61:8080.
Donc ce n'est pas au serveur web que j'ai installé que j'accède.
Mais à quel serveur web alors ?

Cordialement.

Post by **velivole18** » 24 Dec 2014 15:10

Bonjour,

Je viens de créer une toute nouvelle Jail, vide te bien propre
et j'accède à une page par défaut sans problème à l'adresse de la jail sur le port 8080.
Donc il y a bien un serveur web quelque part dans une jail dès le départ.

Cordialement.

laster13 · Post by **laster13** » 24 Dec 2014 16:57

Bonsoir,

Voici mon fichier lighttpd.conf utilisé acvec owncloud. Cela te donnera peu être des éléments de comparaison avec le tien sachant que sur la fin tu ne tens pas compte de la config ssl.

Essaie de changer le port dans ce fichier, tente avec 81. (tu dois le modifier à 2 endroits )

Code: Select all

#######################################################################
##
## /usr/local/etc/lighttpd/lighttpd.conf
##
## check /usr/local/etc/lighttpd/conf.d/*.conf for the configuration of modules.
##
#######################################################################

#######################################################################
##
## Some Variable definition which will make chrooting easier.
##
## if you add a variable here. Add the corresponding variable in the
## chroot example aswell.
##
var.log_root    = "/var/log/lighttpd"
var.server_root = "/usr/local/www/owncloud"
var.state_dir   = "/var/run"
var.home_dir    = "/var/spool/lighttpd"
var.conf_dir    = "/usr/local/etc/lighttpd"

## 
## run the server chrooted.
## 
## This requires root permissions during startup.
##
## If you run Chrooted set the the variables to directories relative to
## the chroot dir.
##
## example chroot configuration:
## 
#var.log_root    = "/logs"
#var.server_root = "/"
#var.state_dir   = "/run"
#var.home_dir    = "/lib/lighttpd"
#var.vhosts_dir  = "/vhosts"
#var.conf_dir    = "/etc"
#
#server.chroot   = "/srv/www"

##
## Some additional variables to make the configuration easier
##

##
## Base directory for all virtual hosts
##
## used in:
## conf.d/evhost.conf
## conf.d/simple_vhost.conf
## vhosts.d/vhosts.template
##
var.vhosts_dir  = server_root + "/vhosts"

##
## Cache for mod_compress
##
## used in:
## conf.d/compress.conf
##
var.cache_dir   = "/var/cache/lighttpd"

##
## Base directory for sockets.
##
## used in:
## conf.d/fastcgi.conf
## conf.d/scgi.conf
##
var.socket_dir  = home_dir + "/sockets"

##
#######################################################################

#######################################################################
##
## Load the modules.
include "modules.conf"

##
#######################################################################

#######################################################################
##
##  Basic Configuration
## ---------------------
##
server.port = 81

##
## Use IPv6?
##
server.use-ipv6 = "disable"

##
## bind to a specific IP
##
server.bind = "192.168.0.105"

##
## Run as a different username/groupname.
## This requires root permissions during startup. 
##
server.username  = "www"
server.groupname = "www"

## 
## enable core files.
##
#server.core-files = "disable"

##
## Document root
##
server.document-root = "/usr/local/www/owncloud"

##
## The value for the "Server:" response field.
##
## It would be nice to keep it at "lighttpd".
##
#server.tag = "lighttpd"

##
## store a pid file
##
server.pid-file = state_dir + "/lighttpd.pid"

##
#######################################################################

#######################################################################
##
##  Logging Options
## ------------------
##
## all logging options can be overwritten per vhost.
##
## Path to the error log file
##
server.errorlog             = log_root + "/error.log"

##
## If you want to log to syslog you have to unset the 
## server.errorlog setting and uncomment the next line.
##
#server.errorlog-use-syslog = "enable"

##
## Access log config
## 
include "conf.d/access_log.conf"

##
## The debug options are moved into their own file.
## see conf.d/debug.conf for various options for request debugging.
##
include "conf.d/debug.conf"

##
#######################################################################

#######################################################################
##
##  Tuning/Performance
## --------------------
##
## corresponding documentation:
## http://www.lighttpd.net/documentation/performance.html
##
## set the event-handler (read the performance section in the manual)
##
## possible options on linux are:
##
## select
## poll
## linux-sysepoll
##
## linux-sysepoll is recommended on kernel 2.6.
##
server.event-handler = "freebsd-kqueue"

##
## The basic network interface for all platforms at the syscalls read()
## and write(). Every modern OS provides its own syscall to help network
## servers transfer files as fast as possible 
##
## linux-sendfile - is recommended for small files.
## writev         - is recommended for sending many large files
##
server.network-backend = "writev"

##
## As lighttpd is a single-threaded server, its main resource limit is
## the number of file descriptors, which is set to 1024 by default (on
## most systems).
##
## If you are running a high-traffic site you might want to increase this
## limit by setting server.max-fds.
##
## Changing this setting requires root permissions on startup. see
## server.username/server.groupname.
##
## By default lighttpd would not change the operation system default.
## But setting it to 2048 is a better default for busy servers.
##
server.max-fds = 2048

##
## Stat() call caching.
##
## lighttpd can utilize FAM/Gamin to cache stat call.
##
## possible values are:
## disable, simple or fam.
##
server.stat-cache-engine = "simple"

##
## Fine tuning for the request handling
##
## max-connections == max-fds/2 (maybe /3)
## means the other file handles are used for fastcgi/files
##
server.max-connections = 1024

##
## How many seconds to keep a keep-alive connection open,
## until we consider it idle. 
##
## Default: 5
##
#server.max-keep-alive-idle = 5

##
## How many keep-alive requests until closing the connection.
##
## Default: 16
##
#server.max-keep-alive-requests = 16

##
## Maximum size of a request in kilobytes.
## By default it is unlimited (0).
##
## Uploads to your server cant be larger than this value.
##
#server.max-request-size = 0

##
## Time to read from a socket before we consider it idle.
##
## Default: 60
##
#server.max-read-idle = 60

##
## Time to write to a socket before we consider it idle.
##
## Default: 360
##
#server.max-write-idle = 360

##
##  Traffic Shaping 
## -----------------
##
## see /usr/share/doc/lighttpd/traffic-shaping.txt
##
## Values are in kilobyte per second.
##
## Keep in mind that a limit below 32kB/s might actually limit the
## traffic to 32kB/s. This is caused by the size of the TCP send
## buffer. 
##
## per server:
##
#server.kbytes-per-second = 128

##
## per connection:
##
#connection.kbytes-per-second = 32

##
#######################################################################

#######################################################################
##
##  Filename/File handling
## ------------------------

##
## files to check for if .../ is requested
## index-file.names            = ( "index.php", "index.rb", "index.html",
##                                 "index.htm", "default.htm" )
##
index-file.names += (
  "index.xhtml", "index.html", "index.htm", "default.htm", "index.php"
)

##
## deny access the file-extensions
##
## ~    is for backupfiles from vi, emacs, joe, ...
## .inc is often used for code includes which should in general not be part
##      of the document-root
url.access-deny             = ( "~", ".inc" )

##
## disable range requests for pdf files
## workaround for a bug in the Acrobat Reader plugin.
##
$HTTP["url"] =~ "\.pdf$" {
  server.range-requests = "disable"
}

##
## url handling modules (rewrite, redirect)
##
#url.rewrite                = ( "^/$"             => "/server-status" )
#url.redirect               = ( "^/wishlist/(.+)" => "http://www.example.com/$1" )

##
## both rewrite/redirect support back reference to regex conditional using %n
##
#$HTTP["host"] =~ "^www\.(.*)" {
#  url.redirect            = ( "^/(.*)" => "http://%1/$1" )
#}

##
## which extensions should not be handle via static-file transfer
##
## .php, .pl, .fcgi are most often handled by mod_fastcgi or mod_cgi
##
static-file.exclude-extensions = ( ".php", ".pl", ".fcgi", ".scgi" )

##
## error-handler for status 404
##
#server.error-handler-404   = "/error-handler.html"
#server.error-handler-404   = "/error-handler.php"

##
## Format: <errorfile-prefix><status-code>.html
## -> ..../status-404.html for 'File not found'
##
#server.errorfile-prefix    = "/srv/www/htdocs/errors/status-"

##
## mimetype mapping
##
include "conf.d/mime.conf"

##
## directory listing configuration
##
include "conf.d/dirlisting.conf"

##
## Should lighttpd follow symlinks?
## 
server.follow-symlink = "enable"

##
## force all filenames to be lowercase?
##
#server.force-lowercase-filenames = "disable"

##
## defaults to /var/tmp as we assume it is a local harddisk
##
server.upload-dirs = ( "/var/tmp" )

##
#######################################################################


#######################################################################
##
##  SSL Support
## ------------- 
##
## To enable SSL for the whole server you have to provide a valid
## certificate and have to enable the SSL engine.::
##
##   ssl.engine = "enable"
##   ssl.pemfile = "/path/to/server.pem"
##
## The HTTPS protocol does not allow you to use name-based virtual
## hosting with SSL. If you want to run multiple SSL servers with
## one lighttpd instance you must use IP-based virtual hosting: ::
##
##   $SERVER["socket"] == "10.0.0.1:443" {
##     ssl.engine                  = "enable"
##     ssl.pemfile                 = "/etc/ssl/private/www.example.com.pem"
##     #
##     # Mitigate BEAST attack:
##     #
##     # A stricter base cipher suite. For details see:
##     # http://blog.ivanristic.com/2011/10/mitigating-the-beast-attack-on-tls.html
##     #
##     ssl.cipher-list             = "ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"
##     #
##     # Make the server prefer the order of the server side cipher suite instead of the client suite.
##     # This is necessary to mitigate the BEAST attack (unless you disable all non RC4 algorithms).
##     # This option is enabled by default, but only used if ssl.cipher-list is set.
##     #
##     # ssl.honor-cipher-order = "enable"
##     #
##     # Mitigate CVE-2009-3555 by disabling client triggered renegotation
##     # This is enabled by default.
##     #
##     # ssl.disable-client-renegotiation = "enable"
##     #
##     server.name                 = "www.example.com"
##
##     server.document-root        = "/srv/www/vhosts/example.com/www/"
##   }
##

## If you have a .crt and a .key file, cat them together into a
## single PEM file:
## $ cat /etc/ssl/private/lighttpd.key /etc/ssl/certs/lighttpd.crt \
##   > /etc/ssl/private/lighttpd.pem
##
#ssl.pemfile = "/etc/ssl/private/lighttpd.pem"

##
## optionally pass the CA certificate here.
##
##
#ssl.ca-file = ""

##
#######################################################################

#######################################################################
##
## custom includes like vhosts.
##
#include "conf.d/config.conf"
#include_shell "cat /usr/local/etc/lighttpd/vhosts.d/*.conf"
##
#######################################################################

# IPv4 listening socket
$SERVER["socket"] == "192.168.0.105:81" { }
ssl.engine = "enable"
ssl.pemfile = "/root/server.pem"
ssl.ca-file = "/usr/local/etc/lighttpd/ssl/server.crt"
ssl.cipher-list  = "ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"
ssl.honor-cipher-order = "enable"
ssl.disable-client-renegotiation = "enable"
$HTTP["url"] =~ "^/data/" {
url.access-deny = ("")
}
$HTTP["url"] =~ "^($|/)" {
dir-listing.activate = "disable"
}
cgi.assign = ( ".php" => "/usr/local/bin/php-cgi" )

velivole18 wrote:you add something like the following to httpd.conf:

Alias /phpldapadmin/ "/usr/local/www/phpldapadmin/htdocs/"

<Directory "/usr/local/www/phpldapadmin/htdocs">
Options none
AllowOverride none

Order Deny,Allow
Deny from all
Allow from 127.0.0.1 .example.com
</Directory>

En ce qui me concerne, lorsque j'ai installé phpmyadmin avec apache, il a fallu rajouter à peu près l'équivalent de ce qu il y a au dessus dans httpd.conf

viewtopic.php?f=94&t=6982

Voila ce qui me vient pour l'instant entre 2 ricard

On arrête pas aujourd'hui

et encore le chapon est pas encore arrivé!!

De base, il n'y a pas de serveur web dans une jail, en tout cas pas à ma connaissance... il faut l'installer.

Pour faire fonctionner owncloud en php voici les modules installés, si cela peut t'aider..

Code: Select all

pkg_add -r php5-mcrypt
pkg_add -r php5-zip
pkg_add -r php5-zlib
pkg_add -r mp3info
pkg_add -r php5-xmlwriter
pkg_add -r lighttpd
pkg_add -r php5-openssl
pkg_add -r php5-ctype
pkg_add -r php5-curl
pkg_add -r php5-dom
pkg_add -r php5-fileinfo
pkg_add -r php5-filter
pkg_add -r php5-gd
pkg_add -r php5-hash
pkg_add -r php5-iconv
pkg_add -r php5-json
pkg_add -r php5-mbstring
pkg_add -r php5-pdo
pkg_add -r php5-pdo_sqlite
pkg_add -r php5-session
pkg_add -r php5-simplexml
pkg_add -r php5-sqlite3
pkg_add -r php5-xml
pkg_add -r php5-xmlrpc
pkg_add -r php5-gettext

Tu peux aussi installer apache et php avec mon tuto, et installer ensuite phpldapadmin de la meme facon que phpmyadmin... garanti, cela fonctionne.

Bon je retourne boire!!

Le prochain post sera peu être moins clair

Post by **velivole18** » 24 Dec 2014 19:57

Bonsoir,

Bon, j'avance ...
Je lance slapd sans problème.
Je lance lighttpd (le bon !) sans problème.
J'accède à phpldapadmin ...
il me met ceci :

Code: Select all

Notice: Undefined variable: _SESSION in /usr/local/www/phpldapadmin/lib/page.php on line 379

Fatal error: Call to a member function getValue() on a non-object in /usr/local/www/phpldapadmin/lib/page.php on line 379

Mais je n'ai pas encore configuré le fichier "/usr/local/www/phpldapadmin/config/config.php"
et je pense que c'est cela qui est à l'origine du problème.
Normal, phpldapadmin ne connait pas encore le lien sur le serveur ldap

Bon, je vais au pied du sapin ...
Sans doute à demain.

PS : au fur et à mesure de mes visites sur des liens intéressants de référence, je complète les "liens utiles".

Cordialement.

Post by **velivole18** » 25 Dec 2014 23:49

Bonsoir,

J'obtiens systématiquement l'erreur suivante à l'appel de la page de phpldapadmin :

Code: Select all

Notice: Undefined variable: _SESSION in /usr/local/www/phpldapadmin/lib/page.php on line 379
Fatal error: Call to a member function getValue() on a non-object in /usr/local/www/phpldapadmin/lib/page.php on line 379

C'est à priori une erreur qui revient très souvent en BSD, il y a quelques pages suite à une recherche google qui en parlent, mais je n'ai jamais trouvé une réponse satisfaisante, surtout que tout le monde travaille avec Apache et non lighttpd

Je vous fourni mes fichiers de conf., si vous avez une idée, sachant que :
- mon serveur Nas4Free est à l'adresse 192.168.0.60
- la jail OpenLdap est à l'adresse 192.168.0.61
- le serveur lighttpd est en 192.168.0.61:81
- le serveur slapd est en 192.168.0.61:389
- la racine de mon schema OpenLdap est 'dc=famille, dc=local' (mais à ce niveau là de problème, ... ce n'est pas le problème !)

Les fichiers de conf. :
/etc/rc.conf ---> contrôle les options de lancement et d'arret
/usr/local/etc/lighttpd/lighttpd.conf ---> sur l'URI 192.168.0.61:81, c'est le fichier de conf du serveur web lighttpd
/usr/local/www/phpldapadmin/config/config.php ---> c'est la config de phpldapadmin
/usr/local/etc/php.conf ---> c'est la config de la couche php
/usr/local/etc/openldap/slapd.conf ---> sur l'URI 192.168.0.61:389, c'est la config du serveur ldap

On y est presque, on y est presque ....

Une idée ?

Merci.
Cordialement.

laster13 · Post by **laster13** » 26 Dec 2014 10:30

Bonjour,

Il semblerait que ce message d'erreur soit lié au fait que le fichier config.php soit rattaché au group "wheel" au lieu de "www". Il faut donc le changer pour le group "www"

Pour vérifier:

Code: Select all

cd /usr/local/www/phpldapadmin/config

Code: Select all

ls -l

Code: Select all

-rw-r-----  1 root  wheel  24954 Aug  7 20:51 config.php
-rw-r-----  1 root  www    24949 Aug  7 20:13 config.php.example

Pour changer le groupe

Code: Select all

# cd /usr/local/www/phpldapadmin/config
# chgrp www config.php

laster13 · Post by **laster13** » 26 Dec 2014 11:53

Bonjour,

De mon coté, étant donné que tu essayes avec lighttpd, j'ai tenté avec apache et cela fonctionne!

ldap1.PNG

phpldpa.PNG

Je poursuis avec l'authentifiacation..

Post by **velivole18** » 26 Dec 2014 12:09

Bonjour,

Concernant le problème lié au groupe, j'avais bien vu cela sur internet et j'avais déjà procédé au changement de groupe.
Mais cela ne corrige en rien le problème.
L'objectif est de faire fonctionner OpenLdap et si possible, mais ce n'est pas obligatoire, phpldapadmin.
Si Apache est la solution, alors pourquoi pas, je ne suis pas contre ...
Sur Rasperry Pi, j'avais créé mes users et group sans phpmyadmin, uniquement en script OpenLdap.
C'est moins sexy, mais ça marche.
D'ailleurs, je me demande si je ne vais pas tenter une mise en oeuvre d'OpenLdap avec création d'un user et groupe type pour tester le lien entre Nas4Free et OpenLdap, en m'affranchissant, pour l'instant, de phpldapadmin.
L'objectif est que Nas4Free aille chercher ses users et groupes dans OpenLdap à la place de ceux définit en local via le webgui.
Je continuerai dans la journée.
Merci pour ton accompagnement, laster13.
A bientôt.

Cordialement.

Post by **velivole18** » 26 Dec 2014 17:08

Bonjour,

J'ai trouvé la doc expliquant la mise en oeuvre de openldap sur freebsd : Lightweight Directory Access Protocol (LDAP)
Cependant, en la suivant à la lettre, le lancement du serveur openldap ne se fait pas à cause d'un problème de certificat et de mécanique SSL3.

Si je retrace mes actions en suivant la doc :

Code: Select all

mkdir /var/db/openldap-data
mkdir /usr/local/etc/openldap/private

Je vérifie que ces 2 répertoires soient en droits d'accès à 700 !

Code: Select all

cp /usr/local/etc/openldap/DB_CONFIG.example /var/db/openldap-data/DB_CONFIG

Je re-vérifie que "/var/db/openldap-data" soit en droits d'accès à 700 !

Je me place dans le répertoire "/usr/local/etc/openldap/private", c'est important (bien lire la doc)!

Code: Select all

cd /usr/local/etc/openldap/private

Ensuite, j'enchaîne les commande suivantes :

Code: Select all

openssl req -days 365 -nodes -new -x509 -keyout ca.key -out ../ca.crt
openssl req -days 365 -nodes -new -keyout server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -out ../server.crt -CA ../ca.crt -CAkey ca.key -CAcreateserial
openssl req -days 365 -nodes -new -keyout client.key -out client.csr
openssl x509 -req -days 3650 -in client.csr -out ../client.crt -CA ../ca.crt -CAkey ca.key

Voici les infos que je donne à chaque fois que cela m'est demandé :

Code: Select all

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:France
Locality Name (eg, city) []:Paris
Organization Name (eg, company) [Internet Widgits Pty Ltd]:famille
Organizational Unit Name (eg, section) []:local
Common Name (e.g. server FQDN or YOUR name) []:CA-Nas4Free-Ldap
Email Address []:mon adresse mail

A ce moment là, les fichiers suivants sont générés :

/usr/local/etc/openldap/private/.srl
/usr/local/etc/openldap/private/ca.key
/usr/local/etc/openldap/private/client.csr
/usr/local/etc/openldap/private/client.key
/usr/local/etc/openldap/private/server.csr
/usr/local/etc/openldap/private/server.key
/usr/local/etc/openldap/ca.crt
/usr/local/etc/openldap/client.crt
/usr/local/etc/openldap/server.crt

J'édite le fichier "/usr/local/etc/openldap/slapd.conf" et je rajoute les options indiquées, ce qui donne :

Code: Select all

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include		/usr/local/etc/openldap/schema/core.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral	ldap://root.openldap.org

pidfile		/var/run/openldap/slapd.pid
argsfile	/var/run/openldap/slapd.args

# Load dynamic backend modules:
modulepath	/usr/local/libexec/openldap
moduleload	back_bdb
# moduleload	back_hdb
# moduleload	back_ldap

# Sample security restrictions
#	Require integrity protection (prevent hijacking)
#	Require 112-bit (3DES or better) encryption for updates
#	Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#	Root DSE: allow anyone to read it
#	Subschema (sub)entry DSE: allow anyone to read it
#	Other DSEs:
#		Allow self write access
#		Allow authenticated users read access
#		Allow anonymous users to authenticate
#	Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#	by self write
#	by users read
#	by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# BDB database definitions
#######################################################################
password-hash {sha}
allow bind_v2

database	bdb
suffix		"dc=famille,dc=local"
rootdn		"cn=Manager,dc=famille,dc=local"

# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
#rootpw		secret
#rootpw		nas4free

# The database directory MUST exist prior to running slapd AND 
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory	/var/db/openldap-data

# Indices to maintain
index	objectClass	eq

#--- debut velivole18 ---
TLSCipherSuite HIGH:MEDIUM:+SSLv3
TLSCertificateFile /usr/local/etc/openldap/server.crt
TLSCertificateKeyFile /usr/local/etc/openldap/private/server.key
TLSCACertificateFile /usr/local/etc/openldap/ca.crt
rootpw	{SHA}b3ptO4UXmRgUbnTZB6n3u6KOGw4=
#--- fin velivole18 ---

Sachant que la dernière ligne est le résultat de la commande :

Code: Select all

slappasswd -h "{SHA}" >> /usr/local/etc/openldap/slapd.conf

Sans oublier de rajouter devant cette ligne "rootpw".

Ensuite, j'édite le fichier "/usr/local/etc/openldap/ldap.conf" et je rajoute les informations indiquées, ce qui donne :

Code: Select all

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include		/usr/local/etc/openldap/schema/core.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral	ldap://root.openldap.org

pidfile		/var/run/openldap/slapd.pid
argsfile	/var/run/openldap/slapd.args

# Load dynamic backend modules:
modulepath	/usr/local/libexec/openldap
moduleload	back_bdb
# moduleload	back_hdb
# moduleload	back_ldap

# Sample security restrictions
#	Require integrity protection (prevent hijacking)
#	Require 112-bit (3DES or better) encryption for updates
#	Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#	Root DSE: allow anyone to read it
#	Subschema (sub)entry DSE: allow anyone to read it
#	Other DSEs:
#		Allow self write access
#		Allow authenticated users read access
#		Allow anonymous users to authenticate
#	Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#	by self write
#	by users read
#	by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# BDB database definitions
#######################################################################
password-hash {sha}
allow bind_v2

database	bdb
suffix		"dc=famille,dc=local"
rootdn		"cn=Manager,dc=famille,dc=local"

# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
#rootpw		secret
#rootpw		nas4free

# The database directory MUST exist prior to running slapd AND 
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory	/var/db/openldap-data

# Indices to maintain
index	objectClass	eq

#--- debut velivole18 ---
TLSCipherSuite HIGH:MEDIUM:+SSLv3
TLSCertificateFile /usr/local/etc/openldap/server.crt
TLSCertificateKeyFile /usr/local/etc/openldap/private/server.key
TLSCACertificateFile /usr/local/etc/openldap/ca.crt
rootpw	{SHA}b3ptO4UXmRgUbnTZB6n3u6KOGw4=
#--- fin velivole18 ---
root@OpenLdap:/usr/local/etc/openldap/private # 
root@OpenLdap:/usr/local/etc/openldap/private # cat /usr/local/etc/openldap/ldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#-----------------------
#--- Options de base ---
#-----------------------
#URI <ldap[si]://[name[:port]] ...>
#BASE <base> (ou=IT staff,o="Example, Inc",c=US ou ou=IT staff,o=Example2C Inc,c=US par ex.)
#BINDDN <dn>
#DEREF <when> (never par ex.)
#HOST <name[:port] ...>
#NETWORK_TIMEOUT <integer>
#PORT <port>
#REFERRALS <on/true/yes/off/false/no>
#SIZELIMIT <integer> (12 par ex.)
#TIMELIMIT <integer> (15 par ex.)
#TIMEOUT <integer>

#-----------------------
#--- options SASL    ---
#-----------------------
#SASL_MECH <mechanism>
#SASL_REALM <realm>
#SASL_AUTHCID <authcid>
#SASL_AUTHZID <authcid>

#-----------------------
#--- options GSSAPI  ---
#-----------------------
#GSSAPI_SIGN <on/true/yes/off/false/no>
#GSSAPI_ENCRYPT <on/true/yes/off/false/no>
#GSSAPI_ALLOW_REMOTE_PRINCIPAL <on/true/yes/off/false/no>

#-----------------------
#--- options TLS     ---
#-----------------------
#TLS_CACERT <filename>
#TLS_CACERTDIR <path>
#TLS_CERT <filename>
#TLS_KEY <filename>
#TLS_CIPHER_SUITE <cipher-suite-spec>
#TLS_RANDFILE <filename>
#TLS_REQCERT <level>
#TLS_CRLCHECK <level>
#TLS_CRLFILE <filename>

#--- debut velivole18 ---
HOST	192.168.0.61:389
URI	ldap://192.168.0.61:389 ldaps://192.168.0.61:389
#URI     ldap:// ldaps://
BASE    dc=famille,dc=local

SIZELIMIT       12
TIMELIMIT       15

TLS_CACERT /usr/local/etc/openldap/ca.crt
TLS_CIPHER_SUITE HIGH:MEDIUM:+SSLv3
#--- fin velivole18 ---

J'édite aussi le fichier "/etc/rc.conf", ce qui donne :

Code: Select all

sendmail_enable="NONE"
syslogd_flags="-ss"
rpc_bind="NO"
network_interfaces=""
cron_flags="$cron_flags -J 15"
lighttpd_enable="YES"
slapd_enable="YES"
slapd_flags="-4 -h ldaps://192.168.0.61:389/"

Puis je tente de lancer le serveur OpenLdap :

Code: Select all

root@OpenLdap:/usr/local/etc/openldap/private # service slapd start
Starting slapd.
/usr/local/etc/rc.d/slapd: WARNING: failed to start slapd
root@OpenLdap:/usr/local/etc/openldap/private #

Donc, je relance avec l'option debug comme indiqué :

Code: Select all

root@OpenLdap:/usr/local/etc/openldap/private # /usr/local/libexec/slapd -d -1
ldap_url_parse_ext(ldap://localhost/)
ldap_init: trying /usr/local/etc/openldap/ldap.conf
ldap_init: using /usr/local/etc/openldap/ldap.conf
ldap_url_parse_ext(ldaps://192.168.0.61:389)
ldap_url_parse_ext(ldap://192.168.0.61:389)
ldap_init: HOME env is /root
ldap_init: trying /root/ldaprc
ldap_init: trying /root/.ldaprc
ldap_init: trying ldaprc
ldap_init: LDAPCONF env is NULL
ldap_init: LDAPRC env is NULL
549d8523 @(#) $OpenLDAP: slapd 2.4.35 (Jun 11 2013 22:50:02) $
	root@localhost:/work/a/ports/net/openldap24-server/work/openldap-2.4.35/servers/slapd
ldap_pvt_gethostbyname_a: host=OpenLdap.famille, r=-1
549d8523 daemon_init: <null>
549d8523 daemon_init: listen on ldap:///
549d8523 daemon_init: 1 listeners to open...
ldap_url_parse_ext(ldap:///)
549d8523 daemon: listener initialized ldap:///
549d8523 daemon_init: 1 listeners opened
ldap_create
549d8523 slapd init: initiated server.
549d8523 mdb_back_initialize: initialize MDB backend
549d8523 mdb_back_initialize: MDB 0.9.6: (January 10, 2013)
549d8523 reading config file /usr/local/etc/openldap/slapd.conf
549d8523 line 5 (include		/usr/local/etc/openldap/schema/core.schema)
549d8523 reading config file /usr/local/etc/openldap/schema/core.schema
549d8523 line 78 (attributetype ( 2.5.4.2 NAME 'knowledgeInformation' DESC 'RFC2256: knowledge information' EQUALITY caseIgnoreMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{32768} ))
549d8523 line 87 (attributetype ( 2.5.4.4 NAME ( 'sn' 'surname' ) DESC 'RFC2256: last (family) name(s) for which the entity is known by' SUP name ))
549d8523 line 93 (attributetype ( 2.5.4.5 NAME 'serialNumber' DESC 'RFC2256: serial number of the entity' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.44{64} ))
549d8523 line 100 (attributetype ( 2.5.4.6 NAME ( 'c' 'countryName' ) DESC 'RFC4519: two-letter ISO-3166 country code' SUP name SYNTAX 1.3.6.1.4.1.1466.115.121.1.11 SINGLE-VALUE ))
549d8523 line 108 (attributetype ( 2.5.4.7 NAME ( 'l' 'localityName' ) DESC 'RFC2256: locality which this object resides in' SUP name ))
549d8523 line 112 (attributetype ( 2.5.4.8 NAME ( 'st' 'stateOrProvinceName' ) DESC 'RFC2256: state or province which this object resides in' SUP name ))
549d8523 line 118 (attributetype ( 2.5.4.9 NAME ( 'street' 'streetAddress' ) DESC 'RFC2256: street address of this object' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{128} ))
549d8523 line 122 (attributetype ( 2.5.4.10 NAME ( 'o' 'organizationName' ) DESC 'RFC2256: organization this object belongs to' SUP name ))
549d8523 line 126 (attributetype ( 2.5.4.11 NAME ( 'ou' 'organizationalUnitName' ) DESC 'RFC2256: organizational unit this object belongs to' SUP name ))
549d8523 line 130 (attributetype ( 2.5.4.12 NAME 'title' DESC 'RFC2256: title associated with the entity' SUP name ))
549d8523 line 142 (attributetype ( 2.5.4.14 NAME 'searchGuide' DESC 'RFC2256: search guide, deprecated by enhancedSearchGuide' SYNTAX 1.3.6.1.4.1.1466.115.121.1.25 ))
549d8523 line 148 (attributetype ( 2.5.4.15 NAME 'businessCategory' DESC 'RFC2256: business category' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{128} ))
549d8523 line 154 (attributetype ( 2.5.4.16 NAME 'postalAddress' DESC 'RFC2256: postal address' EQUALITY caseIgnoreListMatch SUBSTR caseIgnoreListSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.41 ))
549d8523 line 160 (attributetype ( 2.5.4.17 NAME 'postalCode' DESC 'RFC2256: postal code' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{40} ))
549d8523 line 166 (attributetype ( 2.5.4.18 NAME 'postOfficeBox' DESC 'RFC2256: Post Office Box' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{40} ))
549d8523 line 172 (attributetype ( 2.5.4.19 NAME 'physicalDeliveryOfficeName' DESC 'RFC2256: Physical Delivery Office Name' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{128} ))
549d8523 line 178 (attributetype ( 2.5.4.20 NAME 'telephoneNumber' DESC 'RFC2256: Telephone Number' EQUALITY telephoneNumberMatch SUBSTR telephoneNumberSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} ))
549d8523 line 182 (attributetype ( 2.5.4.21 NAME 'telexNumber' DESC 'RFC2256: Telex Number' SYNTAX 1.3.6.1.4.1.1466.115.121.1.52 ))
549d8523 line 186 (attributetype ( 2.5.4.22 NAME 'teletexTerminalIdentifier' DESC 'RFC2256: Teletex Terminal Identifier' SYNTAX 1.3.6.1.4.1.1466.115.121.1.51 ))
549d8523 line 190 (attributetype ( 2.5.4.23 NAME ( 'facsimileTelephoneNumber' 'fax' ) DESC 'RFC2256: Facsimile (Fax) Telephone Number' SYNTAX 1.3.6.1.4.1.1466.115.121.1.22 ))
549d8523 line 196 (attributetype ( 2.5.4.24 NAME 'x121Address' DESC 'RFC2256: X.121 Address' EQUALITY numericStringMatch SUBSTR numericStringSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.36{15} ))
549d8523 line 202 (attributetype ( 2.5.4.25 NAME 'internationaliSDNNumber' DESC 'RFC2256: international ISDN number' EQUALITY numericStringMatch SUBSTR numericStringSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.36{16} ))
549d8523 line 207 (attributetype ( 2.5.4.26 NAME 'registeredAddress' DESC 'RFC2256: registered postal address' SUP postalAddress SYNTAX 1.3.6.1.4.1.1466.115.121.1.41 ))
549d8523 line 213 (attributetype ( 2.5.4.27 NAME 'destinationIndicator' DESC 'RFC2256: destination indicator' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.44{128} ))
549d8523 line 218 (attributetype ( 2.5.4.28 NAME 'preferredDeliveryMethod' DESC 'RFC2256: preferred delivery method' SYNTAX 1.3.6.1.4.1.1466.115.121.1.14 SINGLE-VALUE ))
549d8523 line 224 (attributetype ( 2.5.4.29 NAME 'presentationAddress' DESC 'RFC2256: presentation address' EQUALITY presentationAddressMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.43 SINGLE-VALUE ))
549d8523 line 229 (attributetype ( 2.5.4.30 NAME 'supportedApplicationContext' DESC 'RFC2256: supported application context' EQUALITY objectIdentifierMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.38 ))
549d8523 line 233 (attributetype ( 2.5.4.31 NAME 'member' DESC 'RFC2256: member of a group' SUP distinguishedName ))
549d8523 line 237 (attributetype ( 2.5.4.32 NAME 'owner' DESC 'RFC2256: owner (of the object)' SUP distinguishedName ))
549d8523 line 241 (attributetype ( 2.5.4.33 NAME 'roleOccupant' DESC 'RFC2256: occupant of role' SUP distinguishedName ))
549d8523 line 259 (attributetype ( 2.5.4.36 NAME 'userCertificate' DESC 'RFC2256: X.509 user certificate, use ;binary' EQUALITY certificateExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.8 ))
549d8523 line 266 (attributetype ( 2.5.4.37 NAME 'cACertificate' DESC 'RFC2256: X.509 CA certificate, use ;binary' EQUALITY certificateExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.8 ))
549d8523 line 271 (attributetype ( 2.5.4.38 NAME 'authorityRevocationList' DESC 'RFC2256: X.509 authority revocation list, use ;binary' SYNTAX 1.3.6.1.4.1.1466.115.121.1.9 ))
549d8523 line 276 (attributetype ( 2.5.4.39 NAME 'certificateRevocationList' DESC 'RFC2256: X.509 certificate revocation list, use ;binary' SYNTAX 1.3.6.1.4.1.1466.115.121.1.9 ))
549d8523 line 281 (attributetype ( 2.5.4.40 NAME 'crossCertificatePair' DESC 'RFC2256: X.509 cross certificate pair, use ;binary' SYNTAX 1.3.6.1.4.1.1466.115.121.1.10 ))
549d8523 line 291 (attributetype ( 2.5.4.42 NAME ( 'givenName' 'gn' ) DESC 'RFC2256: first name(s) for which the entity is known by' SUP name ))
549d8523 line 295 (attributetype ( 2.5.4.43 NAME 'initials' DESC 'RFC2256: initials of some or all of names, but not the surname(s).' SUP name ))
549d8523 line 299 (attributetype ( 2.5.4.44 NAME 'generationQualifier' DESC 'RFC2256: name qualifier indicating a generation' SUP name ))
549d8523 line 304 (attributetype ( 2.5.4.45 NAME 'x500UniqueIdentifier' DESC 'RFC2256: X.500 unique identifier' EQUALITY bitStringMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.6 ))
549d8523 line 311 (attributetype ( 2.5.4.46 NAME 'dnQualifier' DESC 'RFC2256: DN qualifier' EQUALITY caseIgnoreMatch ORDERING caseIgnoreOrderingMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.44 ))
549d8523 line 315 (attributetype ( 2.5.4.47 NAME 'enhancedSearchGuide' DESC 'RFC2256: enhanced search guide' SYNTAX 1.3.6.1.4.1.1466.115.121.1.21 ))
549d8523 line 320 (attributetype ( 2.5.4.48 NAME 'protocolInformation' DESC 'RFC2256: protocol information' EQUALITY protocolInformationMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.42 ))
549d8523 line 330 (attributetype ( 2.5.4.50 NAME 'uniqueMember' DESC 'RFC2256: unique member of a group' EQUALITY uniqueMemberMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.34 ))
549d8523 line 336 (attributetype ( 2.5.4.51 NAME 'houseIdentifier' DESC 'RFC2256: house identifier' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{32768} ))
549d8523 line 341 (attributetype ( 2.5.4.52 NAME 'supportedAlgorithms' DESC 'RFC2256: supported algorithms' SYNTAX 1.3.6.1.4.1.1466.115.121.1.49 ))
549d8523 line 346 (attributetype ( 2.5.4.53 NAME 'deltaRevocationList' DESC 'RFC2256: delta revocation list; use ;binary' SYNTAX 1.3.6.1.4.1.1466.115.121.1.9 ))
549d8523 line 350 (attributetype ( 2.5.4.54 NAME 'dmdName' DESC 'RFC2256: name of DMD' SUP name ))
549d8523 line 354 (attributetype ( 2.5.4.65 NAME 'pseudonym' DESC 'X.520(4th): pseudonym for the object' SUP name ))
549d8523 line 374 (objectclass ( 2.5.6.2 NAME 'country' DESC 'RFC2256: a country' SUP top STRUCTURAL MUST c MAY ( searchGuide $ description ) ))
549d8523 line 379 (objectclass ( 2.5.6.3 NAME 'locality' DESC 'RFC2256: a locality' SUP top STRUCTURAL MAY ( street $ seeAlso $ searchGuide $ st $ l $ description ) ))
549d8523 line 390 (objectclass ( 2.5.6.4 NAME 'organization' DESC 'RFC2256: an organization' SUP top STRUCTURAL MUST o MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $ 	x121Address $ registeredAddress $ destinationIndicator $ 	preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ 	telephoneNumber $ internationaliSDNNumber $  	facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $ postalAddress $ physicalDeliveryOfficeName $ st $ l $ description ) ))
549d8523 line 401 (objectclass ( 2.5.6.5 NAME 'organizationalUnit' DESC 'RFC2256: an organizational unit' SUP top STRUCTURAL MUST ou MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $ 	x121Address $ registeredAddress $ destinationIndicator $ 	preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ 	telephoneNumber $ internationaliSDNNumber $ 	facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $ 	postalAddress $ physicalDeliveryOfficeName $ st $ l $ description ) ))
549d8523 line 407 (objectclass ( 2.5.6.6 NAME 'person' DESC 'RFC2256: a person' SUP top STRUCTURAL MUST ( sn $ cn ) MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) ))
549d8523 line 416 (objectclass ( 2.5.6.7 NAME 'organizationalPerson' DESC 'RFC2256: an organizational person' SUP person STRUCTURAL MAY ( title $ x121Address $ registeredAddress $ destinationIndicator $ 	preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ 	telephoneNumber $ internationaliSDNNumber $  	facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $ 	postalAddress $ physicalDeliveryOfficeName $ ou $ st $ l ) ))
549d8523 line 427 (objectclass ( 2.5.6.8 NAME 'organizationalRole' DESC 'RFC2256: an organizational role' SUP top STRUCTURAL MUST cn MAY ( x121Address $ registeredAddress $ destinationIndicator $ 	preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ 	telephoneNumber $ internationaliSDNNumber $ facsimileTelephoneNumber $ 	seeAlso $ roleOccupant $ preferredDeliveryMethod $ street $ 	postOfficeBox $ postalCode $ postalAddress $ 	physicalDeliveryOfficeName $ ou $ st $ l $ description ) ))
549d8523 line 433 (objectclass ( 2.5.6.9 NAME 'groupOfNames' DESC 'RFC2256: a group of names (DNs)' SUP top STRUCTURAL MUST ( member $ cn ) MAY ( businessCategory $ seeAlso $ owner $ ou $ o $ description ) ))
549d8523 line 444 (objectclass ( 2.5.6.10 NAME 'residentialPerson' DESC 'RFC2256: an residential person' SUP person STRUCTURAL MUST l MAY ( businessCategory $ x121Address $ registeredAddress $ 	destinationIndicator $ preferredDeliveryMethod $ telexNumber $ 	teletexTerminalIdentifier $ telephoneNumber $ internationaliSDNNumber $ 	facsimileTelephoneNumber $ preferredDeliveryMethod $ street $ 	postOfficeBox $ postalCode $ postalAddress $ 	physicalDeliveryOfficeName $ st $ l ) ))
549d8523 line 450 (objectclass ( 2.5.6.11 NAME 'applicationProcess' DESC 'RFC2256: an application process' SUP top STRUCTURAL MUST cn MAY ( seeAlso $ ou $ l $ description ) ))
549d8523 line 457 (objectclass ( 2.5.6.12 NAME 'applicationEntity' DESC 'RFC2256: an application entity' SUP top STRUCTURAL MUST ( presentationAddress $ cn ) MAY ( supportedApplicationContext $ seeAlso $ ou $ o $ l $ description ) ))
549d8523 line 462 (objectclass ( 2.5.6.13 NAME 'dSA' DESC 'RFC2256: a directory system agent (a server)' SUP applicationEntity STRUCTURAL MAY knowledgeInformation ))
549d8523 line 468 (objectclass ( 2.5.6.14 NAME 'device' DESC 'RFC2256: a device' SUP top STRUCTURAL MUST cn MAY ( serialNumber $ seeAlso $ owner $ ou $ o $ l $ description ) ))
549d8523 line 473 (objectclass ( 2.5.6.15 NAME 'strongAuthenticationUser' DESC 'RFC2256: a strong authentication user' SUP top AUXILIARY MUST userCertificate ))
549d8523 line 479 (objectclass ( 2.5.6.16 NAME 'certificationAuthority' DESC 'RFC2256: a certificate authority' SUP top AUXILIARY MUST ( authorityRevocationList $ certificateRevocationList $ 	cACertificate ) MAY crossCertificatePair ))
549d8523 line 485 (objectclass ( 2.5.6.17 NAME 'groupOfUniqueNames' DESC 'RFC2256: a group of unique names (DN and Unique Identifier)' SUP top STRUCTURAL MUST ( uniqueMember $ cn ) MAY ( businessCategory $ seeAlso $ owner $ ou $ o $ description ) ))
549d8523 line 490 (objectclass ( 2.5.6.18 NAME 'userSecurityInformation' DESC 'RFC2256: a user security information' SUP top AUXILIARY MAY ( supportedAlgorithms ) ))
549d8523 line 494 (objectclass ( 2.5.6.16.2 NAME 'certificationAuthority-V2' SUP certificationAuthority AUXILIARY MAY ( deltaRevocationList ) ))
549d8523 line 500 (objectclass ( 2.5.6.19 NAME 'cRLDistributionPoint' SUP top STRUCTURAL MUST ( cn ) MAY ( certificateRevocationList $ authorityRevocationList $ 	deltaRevocationList ) ))
549d8523 line 510 (objectclass ( 2.5.6.20 NAME 'dmd' SUP top STRUCTURAL MUST ( dmdName ) MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $ 	x121Address $ registeredAddress $ destinationIndicator $ 	preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ 	telephoneNumber $ internationaliSDNNumber $ facsimileTelephoneNumber $ 	street $ postOfficeBox $ postalCode $ postalAddress $ 	physicalDeliveryOfficeName $ st $ l $ description ) ))
549d8523 line 518 (objectclass ( 2.5.6.21 NAME 'pkiUser' DESC 'RFC2587: a PKI user' SUP top AUXILIARY MAY userCertificate ))
549d8523 line 524 (objectclass ( 2.5.6.22 NAME 'pkiCA' DESC 'RFC2587: PKI certificate authority' SUP top AUXILIARY MAY ( authorityRevocationList $ certificateRevocationList $ 	cACertificate $ crossCertificatePair ) ))
549d8523 line 529 (objectclass ( 2.5.6.23 NAME 'deltaCRL' DESC 'RFC2587: PKI user' SUP top AUXILIARY MAY deltaRevocationList ))
549d8523 line 542 (objectclass ( 1.3.6.1.4.1.250.3.15 NAME 'labeledURIObject' DESC 'RFC2079: object that contains the URI attribute type' SUP top AUXILIARY MAY ( labeledURI ) ))
549d8523 line 559 (attributetype ( 0.9.2342.19200300.100.1.3 NAME ( 'mail' 'rfc822Mailbox' ) DESC 'RFC1274: RFC822 Mailbox'    EQUALITY caseIgnoreIA5Match    SUBSTR caseIgnoreIA5SubstringsMatch    SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} ))
549d8523 line 564 (objectclass ( 0.9.2342.19200300.100.4.19 NAME 'simpleSecurityObject' DESC 'RFC1274: simple security object' SUP top AUXILIARY MUST userPassword ))
549d8523 line 572 (attributetype ( 0.9.2342.19200300.100.1.25 NAME ( 'dc' 'domainComponent' ) DESC 'RFC1274/2247: domain component' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ))
549d8523 line 577 (objectclass ( 1.3.6.1.4.1.1466.344 NAME 'dcObject' DESC 'RFC2247: domain component object' SUP top AUXILIARY MUST dc ))
549d8523 line 582 (objectclass ( 1.3.6.1.1.3.1 NAME 'uidObject' DESC 'RFC2377: uid object' SUP top AUXILIARY MUST uid ))
549d8523 line 601 (attributetype ( 0.9.2342.19200300.100.1.37 NAME 'associatedDomain' DESC 'RFC1274: domain associated with object' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ))
549d8523 line 609 (attributetype ( 1.2.840.113549.1.9.1 NAME ( 'email' 'emailAddress' 'pkcs9email' ) DESC 'RFC3280: legacy attribute for email addresses in DNs' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{128} ))
549d8523 line 13 (pidfile		/var/run/openldap/slapd.pid)
549d8523 line 14 (argsfile	/var/run/openldap/slapd.args)
549d8523 line 17 (modulepath	/usr/local/libexec/openldap)
549d8523 line 18 (moduleload	back_bdb)
549d8523 loaded module back_bdb
549d8523 bdb_back_initialize: initialize BDB backend
549d8523 bdb_back_initialize: Berkeley DB 4.6.21: (September 27, 2007)
549d8523 module back_bdb: null module registered
549d8523 line 52 (password-hash {sha})
549d8523 line 53 (allow bind_v2)
549d8523 line 55 (database	bdb)
549d8523 bdb_db_init: Initializing BDB database
549d8523 line 56 (suffix		"dc=famille,dc=local")
549d8523 >>> dnPrettyNormal: <dc=famille,dc=local>
=> ldap_bv2dn(dc=famille,dc=local,0)
<= ldap_bv2dn(dc=famille,dc=local)=0 
=> ldap_dn2bv(272)
<= ldap_dn2bv(dc=famille,dc=local)=0 
=> ldap_dn2bv(272)
<= ldap_dn2bv(dc=famille,dc=local)=0 
549d8523 <<< dnPrettyNormal: <dc=famille,dc=local>, <dc=famille,dc=local>
549d8523 line 57 (rootdn		"cn=Manager,dc=famille,dc=local")
549d8523 >>> dnPrettyNormal: <cn=Manager,dc=famille,dc=local>
=> ldap_bv2dn(cn=Manager,dc=famille,dc=local,0)
<= ldap_bv2dn(cn=Manager,dc=famille,dc=local)=0 
=> ldap_dn2bv(272)
<= ldap_dn2bv(cn=Manager,dc=famille,dc=local)=0 
=> ldap_dn2bv(272)
<= ldap_dn2bv(cn=manager,dc=famille,dc=local)=0 
549d8523 <<< dnPrettyNormal: <cn=Manager,dc=famille,dc=local>, <cn=manager,dc=famille,dc=local>
549d8523 line 68 (directory	/var/db/openldap-data)
549d8523 line 71 (index	objectClass	eq)
549d8523 index objectClass 0x0004
549d8523 line 74 (TLSCipherSuite HIGH:MEDIUM:+SSLv3)
549d8523 line 75 (TLSCertificateFile /usr/local/etc/openldap/server.crt)
549d8523 line 76 (TLSCertificateKeyFile /usr/local/etc/openldap/private/server.key)
549d8523 line 77 (TLSCACertificateFile /usr/local/etc/openldap/ca.crt)
549d8523 line 78 (rootpw ***)
549d8523 >>> dnNormalize: <cn=Subschema>
=> ldap_bv2dn(cn=Subschema,0)
<= ldap_bv2dn(cn=Subschema)=0 
=> ldap_dn2bv(272)
<= ldap_dn2bv(cn=subschema)=0 
549d8523 <<< dnNormalize: <cn=subschema>
549d8523 matching_rule_use_init
549d8523     1.2.840.113556.1.4.804 (integerBitOrMatch): 549d8523 matchingRuleUse: ( 1.2.840.113556.1.4.804 NAME 'integerBitOrMatch' APPLIES ( supportedLDAPVersion $ entryTtl $ uidNumber $ gidNumber $ olcConcurrency $ olcConnMaxPending $ olcConnMaxPendingAuth $ olcIdleTimeout $ olcIndexSubstrIfMinLen $ olcIndexSubstrIfMaxLen $ olcIndexSubstrAnyLen $ olcIndexSubstrAnyStep $ olcIndexIntLen $ olcListenerThreads $ olcLocalSSF $ olcMaxDerefDepth $ olcReplicationInterval $ olcSockbufMaxIncoming $ olcSockbufMaxIncomingAuth $ olcThreads $ olcToolThreads $ olcWriteTimeout $ olcDbMaxReaders $ olcDbMaxSize $ olcDbSearchStack $ olcSpSessionlog $ olcDbCacheFree $ olcDbCacheSize $ olcDbDNcacheSize $ olcDbIDLcacheSize $ olcDbShmKey ) )
549d8523     1.2.840.113556.1.4.803 (integerBitAndMatch): 549d8523 matchingRuleUse: ( 1.2.840.113556.1.4.803 NAME 'integerBitAndMatch' APPLIES ( supportedLDAPVersion $ entryTtl $ uidNumber $ gidNumber $ olcConcurrency $ olcConnMaxPending $ olcConnMaxPendingAuth $ olcIdleTimeout $ olcIndexSubstrIfMinLen $ olcIndexSubstrIfMaxLen $ olcIndexSubstrAnyLen $ olcIndexSubstrAnyStep $ olcIndexIntLen $ olcListenerThreads $ olcLocalSSF $ olcMaxDerefDepth $ olcReplicationInterval $ olcSockbufMaxIncoming $ olcSockbufMaxIncomingAuth $ olcThreads $ olcToolThreads $ olcWriteTimeout $ olcDbMaxReaders $ olcDbMaxSize $ olcDbSearchStack $ olcSpSessionlog $ olcDbCacheFree $ olcDbCacheSize $ olcDbDNcacheSize $ olcDbIDLcacheSize $ olcDbShmKey ) )
549d8523     1.3.6.1.4.1.1466.109.114.2 (caseIgnoreIA5Match): 549d8523 matchingRuleUse: ( 1.3.6.1.4.1.1466.109.114.2 NAME 'caseIgnoreIA5Match' APPLIES ( altServer $ olcDbConfig $ c $ mail $ dc $ associatedDomain $ email ) )
549d8523     1.3.6.1.4.1.1466.109.114.1 (caseExactIA5Match): 549d8523 matchingRuleUse: ( 1.3.6.1.4.1.1466.109.114.1 NAME 'caseExactIA5Match' APPLIES ( altServer $ olcDbConfig $ c $ mail $ dc $ associatedDomain $ email ) )
549d8523     2.5.13.39 (certificateListMatch): 549d8523     2.5.13.38 (certificateListExactMatch): 549d8523 matchingRuleUse: ( 2.5.13.38 NAME 'certificateListExactMatch' APPLIES ( authorityRevocationList $ certificateRevocationList $ deltaRevocationList ) )
549d8523     2.5.13.35 (certificateMatch): 549d8523     2.5.13.34 (certificateExactMatch): 549d8523 matchingRuleUse: ( 2.5.13.34 NAME 'certificateExactMatch' APPLIES ( userCertificate $ cACertificate ) )
549d8523     2.5.13.30 (objectIdentifierFirstComponentMatch): 549d8523 matchingRuleUse: ( 2.5.13.30 NAME 'objectIdentifierFirstComponentMatch' APPLIES ( supportedControl $ supportedExtension $ supportedFeatures $ ldapSyntaxes $ supportedApplicationContext ) )
549d8523     2.5.13.29 (integerFirstComponentMatch): 549d8523 matchingRuleUse: ( 2.5.13.29 NAME 'integerFirstComponentMatch' APPLIES ( supportedLDAPVersion $ entryTtl $ uidNumber $ gidNumber $ olcConcurrency $ olcConnMaxPending $ olcConnMaxPendingAuth $ olcIdleTimeout $ olcIndexSubstrIfMinLen $ olcIndexSubstrIfMaxLen $ olcIndexSubstrAnyLen $ olcIndexSubstrAnyStep $ olcIndexIntLen $ olcListenerThreads $ olcLocalSSF $ olcMaxDerefDepth $ olcReplicationInterval $ olcSockbufMaxIncoming $ olcSockbufMaxIncomingAuth $ olcThreads $ olcToolThreads $ olcWriteTimeout $ olcDbMaxReaders $ olcDbMaxSize $ olcDbSearchStack $ olcSpSessionlog $ olcDbCacheFree $ olcDbCacheSize $ olcDbDNcacheSize $ olcDbIDLcacheSize $ olcDbShmKey ) )
549d8523     2.5.13.28 (generalizedTimeOrderingMatch): 549d8523 matchingRuleUse: ( 2.5.13.28 NAME 'generalizedTimeOrderingMatch' APPLIES ( createTimestamp $ modifyTimestamp ) )
549d8523     2.5.13.27 (generalizedTimeMatch): 549d8523 matchingRuleUse: ( 2.5.13.27 NAME 'generalizedTimeMatch' APPLIES ( createTimestamp $ modifyTimestamp ) )
549d8523     2.5.13.24 (protocolInformationMatch): 549d8523 matchingRuleUse: ( 2.5.13.24 NAME 'protocolInformationMatch' APPLIES protocolInformation )
549d8523     2.5.13.23 (uniqueMemberMatch): 549d8523 matchingRuleUse: ( 2.5.13.23 NAME 'uniqueMemberMatch' APPLIES uniqueMember )
549d8523     2.5.13.22 (presentationAddressMatch): 549d8523 matchingRuleUse: ( 2.5.13.22 NAME 'presentationAddressMatch' APPLIES presentationAddress )
549d8523     2.5.13.20 (telephoneNumberMatch): 549d8523 matchingRuleUse: ( 2.5.13.20 NAME 'telephoneNumberMatch' APPLIES telephoneNumber )
549d8523     2.5.13.18 (octetStringOrderingMatch): 549d8523 matchingRuleUse: ( 2.5.13.18 NAME 'octetStringOrderingMatch' APPLIES ( userPassword $ olcDbCryptKey ) )
549d8523     2.5.13.17 (octetStringMatch): 549d8523 matchingRuleUse: ( 2.5.13.17 NAME 'octetStringMatch' APPLIES ( userPassword $ olcDbCryptKey ) )
549d8523     2.5.13.16 (bitStringMatch): 549d8523 matchingRuleUse: ( 2.5.13.16 NAME 'bitStringMatch' APPLIES x500UniqueIdentifier )
549d8523     2.5.13.15 (integerOrderingMatch): 549d8523 matchingRuleUse: ( 2.5.13.15 NAME 'integerOrderingMatch' APPLIES ( supportedLDAPVersion $ entryTtl $ uidNumber $ gidNumber $ olcConcurrency $ olcConnMaxPending $ olcConnMaxPendingAuth $ olcIdleTimeout $ olcIndexSubstrIfMinLen $ olcIndexSubstrIfMaxLen $ olcIndexSubstrAnyLen $ olcIndexSubstrAnyStep $ olcIndexIntLen $ olcListenerThreads $ olcLocalSSF $ olcMaxDerefDepth $ olcReplicationInterval $ olcSockbufMaxIncoming $ olcSockbufMaxIncomingAuth $ olcThreads $ olcToolThreads $ olcWriteTimeout $ olcDbMaxReaders $ olcDbMaxSize $ olcDbSearchStack $ olcSpSessionlog $ olcDbCacheFree $ olcDbCacheSize $ olcDbDNcacheSize $ olcDbIDLcacheSize $ olcDbShmKey ) )
549d8523     2.5.13.14 (integerMatch): 549d8523 matchingRuleUse: ( 2.5.13.14 NAME 'integerMatch' APPLIES ( supportedLDAPVersion $ entryTtl $ uidNumber $ gidNumber $ olcConcurrency $ olcConnMaxPending $ olcConnMaxPendingAuth $ olcIdleTimeout $ olcIndexSubstrIfMinLen $ olcIndexSubstrIfMaxLen $ olcIndexSubstrAnyLen $ olcIndexSubstrAnyStep $ olcIndexIntLen $ olcListenerThreads $ olcLocalSSF $ olcMaxDerefDepth $ olcReplicationInterval $ olcSockbufMaxIncoming $ olcSockbufMaxIncomingAuth $ olcThreads $ olcToolThreads $ olcWriteTimeout $ olcDbMaxReaders $ olcDbMaxSize $ olcDbSearchStack $ olcSpSessionlog $ olcDbCacheFree $ olcDbCacheSize $ olcDbDNcacheSize $ olcDbIDLcacheSize $ olcDbShmKey ) )
549d8523     2.5.13.13 (booleanMatch): 549d8523 matchingRuleUse: ( 2.5.13.13 NAME 'booleanMatch' APPLIES ( hasSubordinates $ olcAddContentAcl $ olcGentleHUP $ olcHidden $ olcLastMod $ olcMirrorMode $ olcMonitoring $ olcReadOnly $ olcReverseLookup $ olcSyncUseSubentry $ olcDbNoSync $ olcSpNoPresent $ olcSpReloadHint $ olcDbChecksum $ olcDbDirtyRead $ olcDbLinearIndex ) )
549d8523     2.5.13.11 (caseIgnoreListMatch): 549d8523 matchingRuleUse: ( 2.5.13.11 NAME 'caseIgnoreListMatch' APPLIES ( postalAddress $ registeredAddress ) )
549d8523     2.5.13.9 (numericStringOrderingMatch): 549d8523 matchingRuleUse: ( 2.5.13.9 NAME 'numericStringOrderingMatch' APPLIES ( x121Address $ internationaliSDNNumber ) )
549d8523     2.5.13.8 (numericStringMatch): 549d8523 matchingRuleUse: ( 2.5.13.8 NAME 'numericStringMatch' APPLIES ( x121Address $ internationaliSDNNumber ) )
549d8523     2.5.13.7 (caseExactSubstringsMatch): 549d8523 matchingRuleUse: ( 2.5.13.7 NAME 'caseExactSubstringsMatch' APPLIES ( serialNumber $ destinationIndicator $ dnQualifier ) )
549d8523     2.5.13.6 (caseExactOrderingMatch): 549d8523 matchingRuleUse: ( 2.5.13.6 NAME 'caseExactOrderingMatch' APPLIES ( supportedSASLMechanisms $ vendorName $ vendorVersion $ ref $ name $ cn $ uid $ labeledURI $ description $ olcConfigFile $ olcConfigDir $ olcAccess $ olcAllows $ olcArgsFile $ olcAttributeOptions $ olcAttributeTypes $ olcAuthIDRewrite $ olcAuthzPolicy $ olcAuthzRegexp $ olcBackend $ olcDatabase $ olcDisallows $ olcDitContentRules $ olcExtraAttrs $ olcInclude $ olcLdapSyntaxes $ olcLimits $ olcLogFile $ olcLogLevel $ olcModuleLoad $ olcModulePath $ olcObjectClasses $ olcObjectIdentifier $ olcOverlay $ olcPasswordCryptSaltFormat $ olcPasswordHash $ olcPidFile $ olcPlugin $ olcPluginLogFile $ olcReferral $ olcReplica $ olcReplicaArgsFile $ olcReplicaPidFile $ olcReplogFile $ olcRequires $ olcRestrict $ olcRootDSE $ olcRootPW $ olcSaslAuxprops $ olcSaslHost $ olcSaslRealm $ olcSaslSecProps $ olcSecurity $ olcServerID $ olcSizeLimit $ olcSortVals $ olcSubordinate $ olcSyncrepl $ olcTCPBuffer $ olcTimeLimit $ olcTLSCACertificateFile $ olcTLSCACertificatePath $ olcTLSCertificateFile $ olcTLSCertificateKeyFile $ olcTLSCipherSuite $ olcTLSCRLCheck $ olcTLSCRLFile $ olcTLSRandFile $ olcTLSVerifyClient $ olcTLSDHParamFile $ olcTLSProtocolMin $ olcUpdateRef $ olcDbDirectory $ olcDbCheckpoint $ olcDbEnvFlags $ olcDbIndex $ olcDbMode $ olcSpCheckpoint $ olcDbCryptFile $ olcDbPageSize $ olcDbLockDetect $ knowledgeInformation $ sn $ serialNumber $ c $ l $ st $ street $ o $ ou $ title $ businessCategory $ postalCode $ postOfficeBox $ physicalDeliveryOfficeName $ destinationIndicator $ givenName $ initials $ generationQualifier $ dnQualifier $ houseIdentifier $ dmdName $ pseudonym ) )
549d8523     2.5.13.5 (caseExactMatch): 549d8523 matchingRuleUse: ( 2.5.13.5 NAME 'caseExactMatch' APPLIES ( supportedSASLMechanisms $ vendorName $ vendorVersion $ ref $ name $ cn $ uid $ labeledURI $ description $ olcConfigFile $ olcConfigDir $ olcAccess $ olcAllows $ olcArgsFile $ olcAttributeOptions $ olcAttributeTypes $ olcAuthIDRewrite $ olcAuthzPolicy $ olcAuthzRegexp $ olcBackend $ olcDatabase $ olcDisallows $ olcDitContentRules $ olcExtraAttrs $ olcInclude $ olcLdapSyntaxes $ olcLimits $ olcLogFile $ olcLogLevel $ olcModuleLoad $ olcModulePath $ olcObjectClasses $ olcObjectIdentifier $ olcOverlay $ olcPasswordCryptSaltFormat $ olcPasswordHash $ olcPidFile $ olcPlugin $ olcPluginLogFile $ olcReferral $ olcReplica $ olcReplicaArgsFile $ olcReplicaPidFile $ olcReplogFile $ olcRequires $ olcRestrict $ olcRootDSE $ olcRootPW $ olcSaslAuxprops $ olcSaslHost $ olcSaslRealm $ olcSaslSecProps $ olcSecurity $ olcServerID $ olcSizeLimit $ olcSortVals $ olcSubordinate $ olcSyncrepl $ olcTCPBuffer $ olcTimeLimit $ olcTLSCACertificateFile $ olcTLSCACertificatePath $ olcTLSCertificateFile $ olcTLSCertificateKeyFile $ olcTLSCipherSuite $ olcTLSCRLCheck $ olcTLSCRLFile $ olcTLSRandFile $ olcTLSVerifyClient $ olcTLSDHParamFile $ olcTLSProtocolMin $ olcUpdateRef $ olcDbDirectory $ olcDbCheckpoint $ olcDbEnvFlags $ olcDbIndex $ olcDbMode $ olcSpCheckpoint $ olcDbCryptFile $ olcDbPageSize $ olcDbLockDetect $ knowledgeInformation $ sn $ serialNumber $ c $ l $ st $ street $ o $ ou $ title $ businessCategory $ postalCode $ postOfficeBox $ physicalDeliveryOfficeName $ destinationIndicator $ givenName $ initials $ generationQualifier $ dnQualifier $ houseIdentifier $ dmdName $ pseudonym ) )
549d8523     2.5.13.4 (caseIgnoreSubstringsMatch): 549d8523 matchingRuleUse: ( 2.5.13.4 NAME 'caseIgnoreSubstringsMatch' APPLIES ( serialNumber $ destinationIndicator $ dnQualifier ) )
549d8523     2.5.13.3 (caseIgnoreOrderingMatch): 549d8523 matchingRuleUse: ( 2.5.13.3 NAME 'caseIgnoreOrderingMatch' APPLIES ( supportedSASLMechanisms $ vendorName $ vendorVersion $ ref $ name $ cn $ uid $ labeledURI $ description $ olcConfigFile $ olcConfigDir $ olcAccess $ olcAllows $ olcArgsFile $ olcAttributeOptions $ olcAttributeTypes $ olcAuthIDRewrite $ olcAuthzPolicy $ olcAuthzRegexp $ olcBackend $ olcDatabase $ olcDisallows $ olcDitContentRules $ olcExtraAttrs $ olcInclude $ olcLdapSyntaxes $ olcLimits $ olcLogFile $ olcLogLevel $ olcModuleLoad $ olcModulePath $ olcObjectClasses $ olcObjectIdentifier $ olcOverlay $ olcPasswordCryptSaltFormat $ olcPasswordHash $ olcPidFile $ olcPlugin $ olcPluginLogFile $ olcReferral $ olcReplica $ olcReplicaArgsFile $ olcReplicaPidFile $ olcReplogFile $ olcRequires $ olcRestrict $ olcRootDSE $ olcRootPW $ olcSaslAuxprops $ olcSaslHost $ olcSaslRealm $ olcSaslSecProps $ olcSecurity $ olcServerID $ olcSizeLimit $ olcSortVals $ olcSubordinate $ olcSyncrepl $ olcTCPBuffer $ olcTimeLimit $ olcTLSCACertificateFile $ olcTLSCACertificatePath $ olcTLSCertificateFile $ olcTLSCertificateKeyFile $ olcTLSCipherSuite $ olcTLSCRLCheck $ olcTLSCRLFile $ olcTLSRandFile $ olcTLSVerifyClient $ olcTLSDHParamFile $ olcTLSProtocolMin $ olcUpdateRef $ olcDbDirectory $ olcDbCheckpoint $ olcDbEnvFlags $ olcDbIndex $ olcDbMode $ olcSpCheckpoint $ olcDbCryptFile $ olcDbPageSize $ olcDbLockDetect $ knowledgeInformation $ sn $ serialNumber $ c $ l $ st $ street $ o $ ou $ title $ businessCategory $ postalCode $ postOfficeBox $ physicalDeliveryOfficeName $ destinationIndicator $ givenName $ initials $ generationQualifier $ dnQualifier $ houseIdentifier $ dmdName $ pseudonym ) )
549d8523     2.5.13.2 (caseIgnoreMatch): 549d8523 matchingRuleUse: ( 2.5.13.2 NAME 'caseIgnoreMatch' APPLIES ( supportedSASLMechanisms $ vendorName $ vendorVersion $ ref $ name $ cn $ uid $ labeledURI $ description $ olcConfigFile $ olcConfigDir $ olcAccess $ olcAllows $ olcArgsFile $ olcAttributeOptions $ olcAttributeTypes $ olcAuthIDRewrite $ olcAuthzPolicy $ olcAuthzRegexp $ olcBackend $ olcDatabase $ olcDisallows $ olcDitContentRules $ olcExtraAttrs $ olcInclude $ olcLdapSyntaxes $ olcLimits $ olcLogFile $ olcLogLevel $ olcModuleLoad $ olcModulePath $ olcObjectClasses $ olcObjectIdentifier $ olcOverlay $ olcPasswordCryptSaltFormat $ olcPasswordHash $ olcPidFile $ olcPlugin $ olcPluginLogFile $ olcReferral $ olcReplica $ olcReplicaArgsFile $ olcReplicaPidFile $ olcReplogFile $ olcRequires $ olcRestrict $ olcRootDSE $ olcRootPW $ olcSaslAuxprops $ olcSaslHost $ olcSaslRealm $ olcSaslSecProps $ olcSecurity $ olcServerID $ olcSizeLimit $ olcSortVals $ olcSubordinate $ olcSyncrepl $ olcTCPBuffer $ olcTimeLimit $ olcTLSCACertificateFile $ olcTLSCACertificatePath $ olcTLSCertificateFile $ olcTLSCertificateKeyFile $ olcTLSCipherSuite $ olcTLSCRLCheck $ olcTLSCRLFile $ olcTLSRandFile $ olcTLSVerifyClient $ olcTLSDHParamFile $ olcTLSProtocolMin $ olcUpdateRef $ olcDbDirectory $ olcDbCheckpoint $ olcDbEnvFlags $ olcDbIndex $ olcDbMode $ olcSpCheckpoint $ olcDbCryptFile $ olcDbPageSize $ olcDbLockDetect $ knowledgeInformation $ sn $ serialNumber $ c $ l $ st $ street $ o $ ou $ title $ businessCategory $ postalCode $ postOfficeBox $ physicalDeliveryOfficeName $ destinationIndicator $ givenName $ initials $ generationQualifier $ dnQualifier $ houseIdentifier $ dmdName $ pseudonym ) )
549d8523     1.2.36.79672281.1.13.3 (rdnMatch): 549d8523     2.5.13.1 (distinguishedNameMatch): 549d8523 matchingRuleUse: ( 2.5.13.1 NAME 'distinguishedNameMatch' APPLIES ( creatorsName $ modifiersName $ subschemaSubentry $ entryDN $ namingContexts $ aliasedObjectName $ dynamicSubtrees $ distinguishedName $ seeAlso $ olcDefaultSearchBase $ olcRootDN $ olcSchemaDN $ olcSuffix $ olcUpdateDN $ olcRelay $ member $ owner $ roleOccupant ) )
549d8523     2.5.13.0 (objectIdentifierMatch): 549d8523 matchingRuleUse: ( 2.5.13.0 NAME 'objectIdentifierMatch' APPLIES ( supportedControl $ supportedExtension $ supportedFeatures $ supportedApplicationContext ) )
549d8524 slapd startup: initiated.
549d8524 backend_startup_one: starting "cn=config"
549d8524 config_back_db_open
Backend ACL: access to *
	by * none

549d8524 config_back_db_open: line 0: warning: cannot assess the validity of the ACL scope within backend naming context
549d8524 config_back_db_open: No explicit ACL for back-config configured. Using hardcoded default
549d8524 config_build_entry: "cn=config"
549d8524 config_build_entry: "cn=module{0}"
549d8524 config_build_entry: "cn=schema"
549d8524 >>> dnNormalize: <cn={0}core>
549d8524 <<< dnNormalize: <cn={0}core>
549d8524 config_build_entry: "cn={0}core"
549d8524 config_build_entry: "olcDatabase={-1}frontend"
549d8524 config_build_entry: "olcDatabase={0}config"
549d8524 config_build_entry: "olcDatabase={1}bdb"
549d8524 backend_startup_one: starting "dc=famille,dc=local"
549d8524 bdb_db_open: "dc=famille,dc=local"
549d8524 bdb_db_open: database "dc=famille,dc=local": dbenv_open(/var/db/openldap-data).
549d8524 slapd starting
549d8524 daemon: added 4r listener=0x0
549d8524 daemon: added 6r listener=0x2887b240
549d8524 daemon: select: listen=6 active_threads=0 tvp=NULL
549d8524 daemon: activity on 1 descriptor
549d8524 daemon: waked
549d8524 daemon: select: listen=6 active_threads=0 tvp=NULL

Le serveur semble se lancer tout de même ..., sauf qu'il indique à un moment donné :

549d8524 config_back_db_open: line 0: warning: cannot assess the validity of the ACL scope within backend naming context
549d8524 config_back_db_open: No explicit ACL for back-config configured. Using hardcoded default

Bon, je me mets dans une autre console sur ma jail, je vérifie que mon serveur est actif et je fais la commande de test :

Code: Select all

root@OpenLdap:/usr/local/etc/openldap # ps -ax
  PID TT  STAT    TIME COMMAND
92822 ??  SsJ  0:00.20 /usr/sbin/syslogd -ss
92867 ??  SJ   0:00.81 /usr/local/sbin/lighttpd -f /usr/local/etc/lighttpd/lighttpd.conf
92892 ??  IsJ  0:00.14 /usr/sbin/cron -J 15 -s
14246  1  SJ   0:00.13 csh
14569  1  R+J  0:00.01 ps -ax
14146  0  I+J  0:01.26 /usr/local/libexec/slapd -d -1
93038  0  IJ   0:00.85 csh
root@OpenLdap:/usr/local/etc/openldap # ldapsearch -Z
ldap_start_tls: Connect error (-11)
	additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (self signed certificate)
ldap_result: Can't contact LDAP server (-1)
root@OpenLdap:/usr/local/etc/openldap #

Et là clairement, il y a bien un problème SSL3 ...

Ca fait 50 fois que je reteste mais je ne trouve toujours pas.
Une idée ?

Merci.

Cordialement.

laster13 · Post by **laster13** » 26 Dec 2014 19:11

Bonsoir,

J'en suis pas encore au clés, j'essaie de comprendre comment cela fonctionne... pas simple en théorie lorsqu'on jamais touché à ce sujet!!

Bon j'ai repris tes données et sans les clés j'arrive à cela:

Code: Select all

root@openldap:/usr/local/etc/openldap # ldapadd -x -D "cn=Manager,dc=famille,dc=local" -W -f example.ldif
Enter LDAP Password:
adding new entry "dc=famille,dc=local"

adding new entry "cn=Manager,dc=famille,dc=local"

root@openldap:/usr/local/etc/openldap # ldapsearch
# extended LDIF
#
# LDAPv3
# base <dc=famille,dc=local> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# famille.local
dn: dc=famille,dc=local
objectClass: dcObject
objectClass: organization
o: Example Company
dc: famille

# Manager, famille.local
dn: cn=Manager,dc=famille,dc=local
objectClass: organizationalRole
cn: Manager

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Je tente avec les clés..

laster13 · Post by **laster13** » 26 Dec 2014 19:34

Je constate quelques différences par rapport à tes données.

Je regarde dans /usr/local/etc/openldap et je n'ai pas de fichier nommé "DB_CONFIG.example". Par contre après avoir incrémenter la base de données conformément au post ci dessus, dans "/var/db/openldap-data/" j'ai 2 fichiers:

-data.mdb
-lock.mdb

Par contre, comme j'ai compilé opendlapserver24, j'ai suivi ces instructions

As indicated below, the BDB – with BerkeleyDB backend option was deselected since BerkeleyDB is marked as deprecated. Additionally, the options MDB – with Memory-Mapped DB backend and PPolicy – with Password Policy overlay were selected.

http://loga.us/2014/08/16/openldap-and- ... -openldap/

Pour les clés, je serais tenté de suivre celui ci sachant que le tuto est d’août 2014 donc récent.

http://loga.us/2014/08/27/openldap-and- ... ldap-data/

J'attends ton avis pour poursuivre..

Post by **velivole18** » 26 Dec 2014 20:25

Bonsoir,

Je suis favorable pour que nous essayons de faire fonctionner le tout sans clé (OpenLdap + Nas4Free).
On verra pour les clé après.

En supprimant les clés, j'arrive à faire se connecter Nas4Free à OpenLdap (en activant le service "Accès|LDAP").
Oh, pas de hip hip hip hourra, il y a seulement 30 secondes, au bout d'une journée d'essais !

Je n'ai pas d'erreur dans le log.
Sur Raspberry Pi, je n'étais pas arrivé jusque là !

Bon, et après ?
Il faut enrichir la base d'OpenLdap.
Mais selon quel schéma ?
Je vais continuer à chercher.

Aussi, il y aura un choix à faire dans le type de base à implémenter (MDB ou BDB).
Mais je pense que l'un ou l'autre type pour l'instant ce n'est pas le souci, surtout que c'est transparent pour Nas4Free.
Effectivement, MDB à l'air plus récent et BDB "deprecated".

Peux-tu essayer, svp, d'activer le servive "Accès|LDAP" de ton serveur Nas4Free et me dire ce que tu obtiens ?
Si ton serveur est content, je te propose d'avancer dans la voie qui consiste à simplement ajouter un user dans OpenLdap, et voir si ce user peut accéder à Nas4Free par la suite. En tout cas, c'est ce que je comprends du service rendu par OpenLdap à Nas4Free.
Si ce nouveau user, déclaré dans OpenLdap mais pas en local de Nas4Free, arrive à se connecter en ssh par ex. à une console Nas4Free, alors on aura presque gagné !

Qu'en penses-tu ?

Merci pour ton aide, surtout pendant la digestion des repas de ces derniers 24 heures

Cordialement.

XigmaNAS

[Topic unique] Serveur Openldap + Samba PDC + TLS

[Topic unique] Serveur Openldap + Samba PDC + TLS

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free

Re: Serveur OpenLDAP Nas4Free