Trucs:Ldap sasl bind cant contact LDAP server

De Lea Linux
Révision datée du 30 mars 2016 à 09:41 par Jiel (discussion | contributions) (Page créée avec « = ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) = == Le problème == Vous cherchez à contacter votre serveur LDAP ou votre Active Directory distant, par exemp... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Le problème

Vous cherchez à contacter votre serveur LDAP ou votre Active Directory distant, par exemple avec ldapsearch, avec un commande du genre :

ldapsearch -xb "cn=Léa Linux,OU=FR,OU=Utilisateurs,OU=Objets,DC=lealinux,DC=local" -H ldaps://lealdap.com -D "CN=auth_lea,OU=Comptes Admin,OU=Utilisateurs,OU=Objets,DC=lealinux,DC=local" -w "youp1passw0rd"

La connexion avec votre ldap fonctionne, ce que vous pouvez vérifier avec les commandes :

curl ldaps://lealdap.com

et

telnet lealdap.com 636

ou encore

openssl s_client -connect lealdap:636

car 636 est le port par défaut de ldaps.


Vous êtes certains des champs, tant pour celui du compte d'administration et celui présent dans le LDAP (et de toutes façons, si ce n'était pas le cas, vous auriez un autre message d'erreur, de type "invalid credentials" ou "No such object").

Mais vous avez la vilaine erreur :

ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Solution

Cette erreur se produit quand ldapsearch est incapable de vérifier le certificat TLS.

Contrôlez donc votre fichier /etc/openldap/ldap.conf et vos certificats.

Ainsi, sur Red Hat EL 6 ou CentOS 6 ou dérivées, la variable TLS_CACERTDIR de ldap.conf pointe par défaut sur /etc/openldap/cacerts, alors que le bon répertoire où sont les certificats par défaut est /etc/openldap/certs. Corriger ceci réglera généralement votre problème.

La variable TLS_REQCERT peut aussi être source du problème. Si vous utilisez un certificat non valide, elle doit être positionnée à "allow" ou "never". Si le certificat est valide, ce sera "demand" et il faut indiquer où il se situe avec la variable TLS_CACERTDIR.


Copyright

© 2016 Jiel Beaumadier

Tête de GNU Vous avez l'autorisation de copier, distribuer et/ou modifier ce document suivant les termes de la GNU Free Documentation License, Version 1.2 ou n'importe quelle version ultérieure publiée par la Free Software Foundation; sans section invariante, sans page de garde, sans entête et sans page finale.