locked
Activer LDAPS sur un AD 2008r2 RRS feed

  • Question

  • Bonjour,

     

    J'essaye sans succès d'activer SSL sur LDAP dans mon organisation.

    J'ai généré une demande de certificats en suivant les indications de cette page : http://support.microsoft.com/kb/321051

    Dans mon request.inf, j'ai bien sûr remplacé "CN=<DC fqdn>" pour le FQDN de mon AD. J'ai également modifier la valeur KeyLength à 4096. J'ai exécuté la commande pour avoir mon fichier request.req et j'ai envoyé le contenu à valider chez digicert. Je récupère donc mon nouveau certificat que je colle dans un nouveau fichier nommé certnew.cer et j'exécute la commande -accept.

    J'ouvre une nouvelle MMC avec le composant Certificats (compte ordi, ordi local). Le certificat est bien installé dans Personnel et il m'indique que j'ai une clé privée pour ce dernier. J'ouvre ensuite un composant Certificats (compte service, AD DS) et j'installe mon certificat dans Personnel (il n'y avait rien). Digicert est présent dans les authorités de certification racines de confiance, que ce soir pour l'AD que pour l'ordi local.

    Je passe au test, j'ouvre ldp.exe et je me connecte. Aucun problème sur le port 389, je voie les infos RootDSE. Je change ensuite le port vers le 636 et coche la case SSL. J'obtiens ce message d'erreur :

    ld = ldap_sslinit("192.168.1.245", 636, 1);
    Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
    Error 81 = ldap_connect(hLdap, NULL);
    Server error: <empty>
    Error <0x51>: Fail to connect to 192.168.1.245.
    


    J'ai fait beaucoup de recherche sur google, mais rien trouvé de concluant.

    Je ne sais plus trop quoi faire à présent, donc je suis preneur de n'importe quelle nouvelle piste qui pourrai me mettre sur le voix.

     

    Cordialement,

    Ronan.

    vendredi 28 octobre 2011 15:57

Toutes les réponses

  • Bonsoir,

    avez-vous redémarré votre ordinateur ?

    Vérifiez bien que le port 636 soit en attente de connexion avec la commande "netstat -a".

    Dans les évènements, vous devez aussi trouver un message indiquant que le mode LDAPS est ouvert.

    Lors du test par LDP, il faut aussi s'authentifier correctement avec un login/password autorisé...

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    mardi 1 novembre 2011 20:53
  • Bonjour,

    Merci pour les quelques pistes ;)

    J'ai redémarré le serveur.

    netstat -a me donne ceci :

    TCP    0.0.0.0:636            AD2008:0          LISTENING
    

    Par contre là où il y a un problème, c'est effectivement dans les logs. J'ai un message me disant ceci :

    LDAP sur SSL ne sera pas disponible à ce moment car le serveur n’a pas pu obtenir de certificat. 
     
    Données supplémentaires 
    Valeur de l’erreur :
    8009030e Aucune information d’identification n’est disponible dans le package de sécurité

    Il n'arrive donc pas à trouver mon certificat. J'ai l'ai pourtant bien importé dans NTDS\Personnel.

    Le certificat doit-il obligatoirement contenir le FQDN du serveur AD ? Parce que j'ai un certificat global de chez digicert, qui prend en compte *.xxxx.fr (où xxxx est mon nom de domaine). Mon domaine local étant xxxx.local.

    Ce genre de certificat me permet d'en générer plusieurs pour différents services sans payer plus chère. Je peux en générer jusqu'à 10 il me semble. J'en utilise un pour Exchange 2010 déjà.

    J'ai aussi essayé d'installer l'autorité de certification pour générer un certificat auto-signé. Le certificat est dans ce cas là bien délivré à AD2008.xxxx.local. Mais toujours le même message dans les logs après redémarrage.

    Cordialement,

    Ronan.

    mercredi 2 novembre 2011 10:06