{"id":2817,"date":"2017-02-04T12:05:09","date_gmt":"2017-02-04T11:05:09","guid":{"rendered":"http:\/\/olivier.hoarau.org\/?p=2817"},"modified":"2017-02-04T12:05:09","modified_gmt":"2017-02-04T11:05:09","slug":"passer-en-connexion-chiffree-avec-openldap-et-un-serveur-web-apache","status":"publish","type":"post","link":"https:\/\/olivier.hoarau.org\/?p=2817","title":{"rendered":"Passer en connexion chiffr\u00e9e avec OpenLDAP et un serveur web Apache"},"content":{"rendered":"

Apr\u00e8s \u00eatre pass\u00e9 en connexion chiffr\u00e9e avec SSL\/TLS<\/strong> sur mon serveur perso dovecot<\/a> de distribution de mail, ainsi que sur mon serveur sendmail<\/a> de r\u00e9cup\u00e9ration et d’envoi de mail, il me restait \u00e0 m’occuper de mon serveur d’authentification bas\u00e9 sur OpenLDAP<\/strong> et de mon serveur web Apache<\/strong> local.<\/p>\n

C’est chose faite \u00e0 pr\u00e9sent. Pour OpenLDAP<\/strong> \u00e7a se fait en deux \u00e9tapes, il faut d’abord cr\u00e9er un certificat pour le serveur et activer les connexions chiffr\u00e9es (voir par l\u00e0<\/a>). Ensuite pour l’authentification utilisateur, il faudra sur les clients modifier la configuration du serveur nslcd<\/strong> pour forcer la connexion chiffr\u00e9e (voir par ici<\/a>). Pour le serveur web Apache<\/strong>, il faut \u00e9galement cr\u00e9er un certificat et modifier la configuration d’Apache<\/strong> pour activer la possibilit\u00e9 de se connecter via SSL\/TLS<\/strong>, \u00e0 voir par l\u00e0<\/a>.<\/p>\n

Inconv\u00e9nient de la m\u00e9thode, en th\u00e9orie un certificat doit \u00eatre certifi\u00e9 par une autorit\u00e9 qualifi\u00e9e de certification <\/a>(en anglais CA pour Certificate Authority en anglais). Le CA est un tiers de confiance qui d’authentifier l’identit\u00e9 des correspondants, \u00e7a \u00e9vite ainsi de tomber\u00a0 dans un chausse trappe et de prot\u00e9ger l’\u00e9change de ses donn\u00e9es.<\/span> Or c’est une d\u00e9marche qui n’est pas gratuite, de fait en cr\u00e9ant dans son coin son infrastructure \u00e0 cl\u00e9s publiques<\/a> (Public Key Infrastructure PKI en anglais)\u00a0<\/b><\/i>et en g\u00e9n\u00e9rant un certificat,\u00a0 en l’auto signant, il ne vaut pas grand chose sur internet et il faudra l’accepter ensuite comme une exception de s\u00e9curit\u00e9.<\/p>\n

<\/p>\n

\u00c7a peut le faire sur un r\u00e9seau priv\u00e9 car on ma\u00eetrise ce que l’on fait, mais c’est plus g\u00eanant si le service concern\u00e9 est accessible d’internet. Il existe n\u00e9anmoins des autorit\u00e9s qui d\u00e9livrent gratuitement des services, pour un serveur web il existe Let’s Encrypt<\/a>. La cr\u00e9ation du certificat se fait de mani\u00e8re simple en lan\u00e7ant un script dans un shell. Let’s encrypt ne g\u00e8re pour l’instant que les certificats de serveur web. Sinon il existe selso.com<\/a> et startssl.com<\/a>. Pour le premier, je suis un peu dubitatif, le site a l’air vieillot, limite abandonn\u00e9 et quand on va sur une page s\u00e9curis\u00e9e, le certificat n’est plus valide et il faut accepter une exception de s\u00e9curit\u00e9 ! \u00c7a fait pas tr\u00e8s s\u00e9rieux, le deuxi\u00e8me a l’air plus convainquant.<\/p>\n

\n","protected":false},"excerpt":{"rendered":"

Apr\u00e8s \u00eatre pass\u00e9 en connexion chiffr\u00e9e avec SSL\/TLS sur mon serveur perso dovecot de distribution de mail, ainsi que sur mon serveur sendmail de r\u00e9cup\u00e9ration et d’envoi de mail, il me restait \u00e0 m’occuper de mon serveur d’authentification bas\u00e9 sur OpenLDAP et de mon serveur web Apache local. C’est chose faite \u00e0 pr\u00e9sent. Pour OpenLDAP … Continuer la lecture de Passer en connexion chiffr\u00e9e avec OpenLDAP et un serveur web Apache<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false,"_share_on_mastodon":"0"},"categories":[5,12,10],"tags":[],"class_list":["post-2817","post","type-post","status-publish","format-standard","hentry","category-logiciels-libres","category-vie-de-funix","category-vie-de-mes-sites"],"share_on_mastodon":{"url":"","error":""},"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/peOjJ-Jr","jetpack_likes_enabled":true,"_links":{"self":[{"href":"https:\/\/olivier.hoarau.org\/index.php?rest_route=\/wp\/v2\/posts\/2817","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/olivier.hoarau.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/olivier.hoarau.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/olivier.hoarau.org\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/olivier.hoarau.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2817"}],"version-history":[{"count":1,"href":"https:\/\/olivier.hoarau.org\/index.php?rest_route=\/wp\/v2\/posts\/2817\/revisions"}],"predecessor-version":[{"id":2818,"href":"https:\/\/olivier.hoarau.org\/index.php?rest_route=\/wp\/v2\/posts\/2817\/revisions\/2818"}],"wp:attachment":[{"href":"https:\/\/olivier.hoarau.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/olivier.hoarau.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/olivier.hoarau.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}