Forum Linux.débutant Accès distant à un LDAP

Posté par  .
Étiquettes :
4
4
sept.
2012

Bien l'bonjour !

J'ai, avec un collègue, depuis le début cet été pris la charge du petit réseau de l'école dans laquelle j'étudie, et je ne connaissais alors rien de rien à Linux.

Après plusieurs mois de galères diverses, on est enfin parvenus à avoir un serveur qui tourne sous Debian squeeze, avec un LDAP, Samba, Bind9 et plus ou moins tout ce qu'on désirait.
Le LDAP marche bien, tous les ordinateurs windows peuvent s'y enregistrer, et la connexion des utilisateurs se fait sans souci. De même, on utilise le logiciel MantisBugTracker hébergé sur le serveur, qui se connecte au LDAP, et là aussi, pas de problème.

Par contre, nous avons un deuxième ordi, sous windows pro celui_là, qui héberge un serveur SVN (c'est une contrainte des employeurs). Et lui, quand on essaye de le brancher au LDAP, il dit qu'il n'y parvient pas (On a testé CollabnetSVN et UberSVN avec aussi peu de succès.).

Un "telnet 192.168.1.1 389" dit qu'il est impossible d'ouvrir une connexion à l'hôte.
Un "nmap 127.0.0.1 -p 389" sur le serveur linux affiche bien le port 389 comme ouvert.
Un "nmap 192.168.1.1 -p 389" sur le serveur linux affiche bien le port 389, mais fermé !

Donc on en a déduit que le LDAP n'était accessible qu'en local, mais une demi-journé de recherches sur internet ne nous ont pas permis de trouver comment ouvrir la connexion distante. :(

Si quelqu'un avait la bonté de bien vouloir nous sortir de ce pétrin… ;)

  • # Vérifier.

    Posté par  . Évalué à 3.

    Donc on en a déduit que le LDAP n'était accessible qu'en local

    Ou bien il y a un parefeu qui le bloque.

    Que donnent les commandes suivantes ?

    iptables-save
    
    
    netstat -nplaute | grep 389 | grep LISTEN
    
    

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Vérifier.

      Posté par  (site web personnel) . Évalué à 3.

      Cela ne mange pas de pain de vérifier aussi dans la configuration que le LDAP est bien ouvert vers l'extérieur, Je sais le netstat devrait le montrer aussi, et cela ressemble très fortement à un problème de frw, je suis d'accord… D'autant que (…)tous les ordinateurs windows peuvent s'y enregistrer(…)

      Mais se familiariser avec la configuration c'est toujours sympa !

      $>grep SERVICE /etc/default/slapd

      Tu dois avoir un truc du genre

      SLAPD_SERVICE="ldap:/// "

      Si il avait été restreint ce serait

      SLAPD_SERVICE="ldap://127.0.0.1:389/"

      Fuse : j'en Use et Abuse !

      • [^] # Re: Vérifier.

        Posté par  . Évalué à 2.

        Ha ! (Merci pour la rapidité de ta réponse à toi aussi, c'est vraiment très agréable )

        J'ai ça : SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps://127.0.0.1/ ldapi:///"

        Donc c'est apparemment cette config qui restreint les accès au LDAP ? Je met juste SLAPD_SERVICE="ldap:/// " et tout baigne ? (Désolé de demander confirmation mais comme il y a du monde qui l'utilise, j'aime autant ne pas trop y aller à l'aveuglette dans la config)

      • [^] # Re: Vérifier.

        Posté par  . Évalué à 4.

        AH LA VAAAAAAAACHE C'ETAIT CA ! T_T

        Un énorme merci de notre part à vous deux pour votre aide !

    • [^] # Re: Vérifier.

      Posté par  . Évalué à 2. Dernière modification le 04 septembre 2012 à 16:20.

      Merci pour cette réponse rapide !

      Je n'ai pas souvenir qu'on ait installé un pare-feu. Est-ce que Debian en comprend un par défaut ?

      Voila le résultat de iptables-save (on avait essayé d'ajouter le port dedans) :

      # Generated by iptables-save v1.4.8 on Tue Sep  4 12:47:04 2012
      *filter
      :INPUT ACCEPT [73267:39582901]
      :FORWARD ACCEPT [0:0]
      :OUTPUT ACCEPT [62074:55628618]
      -A INPUT -i eth1 -p tcp -m tcp --sport 389 -m state --state NEW,ESTABLISHED -j ACCEPT
      -A INPUT -i eth1 -p tcp -m tcp --sport 389 -m state --state ESTABLISHED -j ACCEPT
      COMMIT
      # Completed on Tue Sep  4 12:47:04 2012
      
      

      Et le résultat du netstat :

      tcp        0      0 127.0.0.1:389           0.0.0.0:*               LISTEN      0          35683       4038/slapd
      
      
      • [^] # Re: Vérifier.

        Posté par  . Évalué à 4.

        tcp 0 0 127.0.0.1:389 0.0.0.0:* LISTEN 0 35683 4038/slapd

        confirme qu'il n'ecoute que lui meme (127.0.0.1)
        là ou s'il permettait à d'autres de venir se connecter il afficherait au choix
        - 192.168.1.1:389 si ton serveur est sur l'IP 192.168.1.1
        - 0.0.0.0:389 s'il ecoute sur toutes les cartes reseaux du serveur

      • [^] # Re: Vérifier.

        Posté par  . Évalué à 3.

        C'est cool que ton problème ait été résolu. Je me permet juste de te faire une remarque le point suivant : l'utilisation du formatage des contenus sur ce site.

        Les lignes qui commencent par "Generated by iptables-save" et "Completed on Tue Sep" sont écrites en gros caractères parce que considéré par linuxfr.org comme des titres car la ligne commençait par un #. (normal pour un commentaire de fichier de conf…)
        Quand tu veux coller ce genre de texte ici sans rencontrer de problème tu peux l'entourer avec ``` (trois backquotes puis un retour à la ligne). Il ne sera pas interprété.

        Tous les détails ici.

        • [^] # Re: Vérifier.

          Posté par  . Évalué à 3.

          j'ai corrigé son poste, comme ca c'est plus lisible.

          • [^] # Re: Vérifier.

            Posté par  . Évalué à 1.

            Merci bien, je ferai attention à l'avenir. ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.