Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Probleme de liaison entre AD et le protocole LDAPS

    Scheduled Pinned Locked Moved
    Français
    ldaps activedirectory connection
    1
    2
    793
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      fly_tagart
      last edited by fly_tagart

      Bonsoir à tous,

      Voilà je me présente un peu : Matthieu, 40 ans en reconversion dans l'informatique et actuellement en fin de 1ère année de BAC+2 TIIS (Technicien Informatique Infra et Sécurité). Pour notre projet de fin d'année, nous avons choisis de mettre en place une solution sécurisée avec VPN pour télétravailleurs. Nous avons choisi d'utiliser pfSense CE v2.5.1 pour ça, coupler avec un Win Serveur 2016 et un client Windows 10 Pro pour les tests.

      Tout va bien dans le projet, jusqu'à la mise en place de l'authentification grâce au protocole LDAPS. Impossible de faire communiquer notre Windows Serveur et pfSense. Alors voilà comment ça se goupille :

      J'ai 3 VMs sous Hyper-V

      1. pfSense CE v2.5.1 : - Une interface WAN en 192.168.1.101
        - Une interface LAN en 192.168.5.101
        - Pas de DMZ donc ce sont mes deux seules interfaces
        - DNS desactivé, on se sert de celui du WinServeur pour trouver la résolution du nom de domaine.

      2. Windows Serveur 2016 : - Une carte réseau en 192.168.5.150
        - Un AD avec nom de domaine : agronutrus.lan
        - Un DNS
        - Une règle de firewall qui laisse entrée sur le port 636.

      3. Windows 10 Pro : pas encore paramétré sachant qu'on n’a pas encore touché au VPN.

      Nous avons sécurisé notre pfSense, changement de compte admin, mise en place du protocole HTTPS, et connexion à distance en SSH, c’est OK. Vient ensuite la mise en place de notre protocole LDAP. Là encore ça passe nickel, les tests de mes users passent dans la console de test pfSense. Par contre, le LDAPS, impossible de passer les tests. Voilà ce qu'on a fait pour le LDAPS :

      1. Sur Win Serveur, installation du rôle AD CertificationService -> OK

      2. Mise en place d'un certificat pour contrôleur de domaine -> OK

      3. Sous pfSense, test en invite de commande pour vérifier qu'il trouve bien le certificat généré par ADCS :
        "openssl s_client -showcers -connect 192.168.5.150:636" -> OK

      4. Je recommence avec cette fois-ci le nom du serveur dans la commande pour savoir si mon DNS est OK :
        "openssl s_client -showcers -connect WinServ161.agronutris.lan:636" -> OK

      5. depuis la console de test de ping, je fais la même chose je teste en IP et nom de domaine OK

      6. Comme j'ai créé un serveur d'authentification pour le LDAP sur le port 389, je fais la même chose avec le LDAPS en 636, mais ça coince au Conteneur d'identification. Il y a un bouton bleu "sélectionner un conteneur". Quand je clique dessus en LDAP, il me trouve les conteneurs de manière automatique (je n'ai plus qu'à choisir), mais en LDAPS j'ai droit à "Could not connect to the LDAP server. Please check the LDAP configuration".
        Si je regarde dans systéme/gestionnaire d'usagers/paramétres, je peux tester mon serveur d'authentification. Quand je teste le LDAP tout passe, mais quand je teste LDAPS, j'ai :
        - tentative de connexion à WinServ161.agronutris.lan -> OK
        - tentative de lier à WinServ161.agronutris.lan -> échoué.

      Voilà, j'espère que je n'ai rien raté. Si ça inspire quelqu'un je suis preneur !

      P.S : je me suis inspiré de la vidéo de shupsi : https://www.youtube.com/watch?v=D3eHQt-WEZs&list=PLOwklnWAGE8meJoov2aMdQK5XbB-hAYq4&index=4

      1 Reply Last reply Reply Quote 0
      • F
        fly_tagart
        last edited by

        Finalement, j'ai trouvé, mais ça n'a pas été sans mal !
        J'ai été sur mon ADCS.
        J'ai importé le certificat de mon autorité de certification : CA-WinServ161.
        Je voulais l’éditer en texte pour faire un copier/coller et le balancer dans pfSense mais c'était crypté.
        Alors je l'ai ouvert avec le certmgr.exe et l'ai exporté de nouveau sans les clefs (de toute façon je n’avais pas le choix)
        Cette fois-ci quand je l'ai ouvert avec un éditeur de texte, je l'avais en clair. Je l'ai copié.
        Retour sur pfSense dans l'AC, j'en créer une nouvelle, mais cette fois-ci une externe. Je colle le certificat de mon AC-WinServ161.
        Je vais dans gestionnaire de certification pour en créer une version LDAPS avec la nouvelle autorité de certification externe.
        Je valide, je teste ...
        ... et ça passe !!! Le pire, c’est que la réponse était dans les commentaires de la vidéo ...

        1 Reply Last reply Reply Quote 0
        • First post
          Last post