Discussion :

[jf.chapelle]

Je souhaite établir une connexion LDAPS entre un serveur Apache 2.2.17 et un contrôleur AD pour gérer l'authentification d'utilisateurs devant accéder à un répertoire particulier d'un site intranet.

Le serveur Apache : version 2.2.17 sous WINDOWS 2003 (ne me demandez pas pourquoi)

La configuration LDAP (port 389) fonctionne très bien.

La configuration LDAPS (port 636) ne fonctionne pas du tout : le serveur Apache termine sans raison la communication avec le contrôleur AD (pas de pb de firewall, car un browser tel que Apache Directory Studio arrive trés bien à établir la connexion en LDAPS).

Le certificat fournit par le contrôleur a bien été installé sur WINDOWS 2003 ...

Le fichier de configuration est tel que :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
 
    LoadModule ldap_module modules/mod_ldap.so
    LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
 
    LDAPTrustedGlobalCert CA_BASE64 conf/cert/my-certif.crt
 
    LDAPVerifyServerCert off
 
    <Location /ldap-status>
      SetHandler ldap-status
 
      Order deny,allow
      Deny from all
      Allow from mypc.mydomain
 
      AuthType Basic
      AuthName "Test LDAPS Active Directory"
      AuthBasicProvider ldap
      AuthzLDAPAuthoritative on
 
      AuthLDAPBindDN yraph001@test.myad
      AuthLDAPBindPassword kjhflkjhflkjshfls
 
      AuthLDAPURL "ldaps://ctrlad.test.myad/dc=test,dc=myad?sAMAccountName?sub?(objectClass=*)"
 
      Require valid-user
    </Location>

Avez-vous déjà été confrontés à un tel problème ?

Savez-vous comment peut-on obtenir des traces plus verbeuses pour comprendre ce qu'il se passe réellement, car le mode "debug" d'Apache ne montre rien d'intéressant.

D'avance, merci.

[jf.chapelle]

J'ajouterais que la trace Apache fait apparaître le message ci-dessous :

[Thu Mar 31 10:21:24 2011] [info] APR LDAP: Built with Microsoft Corporation. LDAP SDK
[Thu Mar 31 10:21:24 2011] [info] LDAP: SSL support unavailable: LDAP: CA certificates cannot be set using this method, as they are stored in the registry instead.

Pourtant, le certificat a bien été chargé dans le "Certificat Store" du serveur WINDOWS, mais rien à faire (comment "mod_ldap" parcourt-il les certificats à sa disposition ?).