Discussion :

[Izhocell]

Bonjour,

dans le cadre d'un mini-projet d'annuaire LDAP pour une flotte de mobile, j'ai mis en place un OpenLdap proxy d'un Active Directory.
Pour le moment j'arrive bien a avoir tous mes utilisateurs et attributs associés.

Cependant vu que l'OpenLDAP va être ouvert à internet, je cherche à réduire le périmètre de recherche que sur une seul OU et qu'à certain attribut.
J'ai lu sur le net que l'on pouvait jouer avec les règles d'accès, mais je n'ai pas l'impression que ça fonctionne pour mon cas.

Voici la règle que j'ai créé :

access to dn.subtree="ou=xxxx,dc=xxxx,dc=fr" attrs="entry,sn,givenName,
streetAddress,l,postaCode,mail,telephoneNumber,mobile"
by dn="cn=xxxxxx,OU=xxxxx,dc=xxx,dc=fr" read
by * none

Est-ce bien comme ça qu'il faut faire ? Si, oui, alors qu'elle est mon erreur, si, non alors est-ce que c'est réalisable au moins ?

Merci de votre aide.

Izhocell

[jlliagre]

Quelle version d'OpenLDAP ?

[Izhocell]

Bonjour,

Merci de votre réponse.

la version de mon OpenLDAP semble être la 2.4.40

ldapsearch -VV
ldapsearch: @(#) $OpenLDAP: ldapsearch 2.4.40 (May 10 2016 23:31:28) $
mockbuild@worker1.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.40/openldap-2.4.40/build-clients/clients/tools
(LDAP library: OpenLDAP 20440)

[jlliagre]

Je lancerais le proxy en mode debug pour voir comment il traite une requête qui ne devrait pas passer.

[Izhocell]

Je viens de rajouter la ligne ci-dessous dans mon slapd.conf mais je n'ai aucun fichier de créé dans mon /var/log/

loglevel 256

Je n'ai pas de syslog pour centraliser les logs pour le moment, et j'ai lu que OpenLDAP n'envoyait ses logs qu'à ça.

Il n'y a-t-il pas un autre moyen de voir les logs ?

[jlliagre]

Mieux vaut ne loguer que les ACL ( http://prefetch.net/blog/index.php/2...openldap-acls/ ):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

loglevel ACL

Tu as relancé le service ?

[Izhocell]

Je viens de modifier le loglevel.

Je restart bien le service Sldapd à chaque modification du slapd.conf.

Je ne trouve aucun fichier le log concernant slapd, il se créé en auto ou bien il faut que je le force ?

[Izhocell]

Je viens de réussir à afficher le debug ACL

Voici les lignes que j'ai sur des champs normalement interdit par ma politique :

access_allowed: result not in cache (ENCADREMENT)
58a18fa6 => access_allowed: read access to "cn=xxxxxxxxxxxx" "ENCADREMENT" requested
58a18fa6 => slap_access_allowed: backend default read access granted to "cn=Ldapaccess,xxxxxxxxxxxxxx"
58a18fa6 => access_allowed: read access granted by read(=rscxd)

[Zura123]

Moi de mon côté je galère a faire un proxy transparent pour mon ldap, tu peux link le fichier slapd.conf que tu as utilisé (en enlevant les données sensible bien sur).

[Izhocell]

Bonjour,

c'est pourtant assez simple, voici la config que j'ai fait.

modulepath /usr/lib64/openldap
moduleload back_ldap
moduleload rwm


database ldap
readonly yes
protocol-version 3
rebind-as-user

uri "ldap://[TON SERVEUR LDAP]:389"
suffix "dc=xxxxx,dc=fr"

Mon problème venait du fait que j'avais transformé mon slapd.conf en nouvelle version, de ce fait, le dossier slapd.d n'était plus vide et était prioritaire à mon slapd.conf.

[Zura123]

J'avais un fichier similaire que j'ai fini par complexifier du fait que cela ne fonctionne pas.
Si je reprend ton exemple, slaptest me renvoie une rreur :
<suffix> invalid DN 21 (invalid syntax)

Peut être que cela vient du fait que je tente de faire tourner openldap sur Windows....

Ce que je cherche à faire également c'est interroger le serveur openldap de façon anonyme et que le serveur relaie la requête avec l'authentification spécifiée.

[Izhocell]

Pourrais-tu poster ton slapd.conf ?

[Zura123]

Alors j'ai au moins 7 fichiers d'historique ou j'ai essayé plusieurs chose :
En somme ce que je souhaite c'est, un proxy ldap qui accepte les connexions anonyme, le proxy va exécuter la requête sur un serveur ldap avec le compte spécifié dans la configuration, et limiter le champs de recherche à une ou LDAP.

include ./schema/core.schema
include ./schema/cosine.schema
include ./schema/inetorgperson.schema
include ./schema/misc.schema
include ./schema/nis.schema


database ldap
chase-referrals no
readonly yes
protocol-version 3
rebind-as-user
uri "ldap://monserveurldap"
suffix "dc=mondomaine,dc=com"
idassert-bind bindmethod=simple
binddn="cn=utilisateur,dc=mondomaine,dc=com"
credentials="example"
idassert-authzFrom "*"

[Izhocell]

En gros c'est ce que j'ai mis en place, sauf que moi je n'ai pas inclu l'authentification en dur via le binddn.
Mais tu as essayé en enlevant ton auth en dur ?

[Zura123]

Si j'enlève l'auth en dur alors je dois faire une authentification avec mon client ldap. En authentification anonyme ca ne fonctionne pas mais je vais refaire un test.

Peut être as tu autorisé l'interrogation ldap anonyme au niveau de ton AD ?