Bonjour,
Je déterre ce vieux sujet car j’ai passé les deux derniers jours à essayer de mettre en place l’authentification LDAP en utilisant le cryptage SSL.
Et je dois avouer que cela n’a pas été de tout repos.
Je vais donc donné ici un résumé de tout ce que j’ai pue apprendre pendant ces deux jours en espérant que cela soit utile à quelqu’un.
Voici d’abord le détail de ma configuration (pour lever toutes ambiguïtés) : Alfresco 2.0, en version bundle avec Tomcat, installé sous Windows XP.
Le protocole SSL repose sur l’utilisation de certificats. Lors de la connexion sécurisé à un site web, votre navigateur vous demande si vous voulez accepter ou non ce certificat. Dans le cas d’Alfresco, le serveur d’application ne dispose pas d’interface graphique pour effectuer cette opération.
Il faut donc récupérer le certificat de l’annuaire, et le spécifier comme certificat de confiance à Tomcat pour qu’il puisse l’utiliser.
1. Commençons par récupérer le certificat : pour ma part j’ai utilisé l’utilitaire openSSL, via la commande :
Il faut stocker ce certificat dans un fichier, par exemple temp.cer
2. Dans mon cas le certificat était en fait composé de deux certificats, dont un seul, encodé en x.509 m’intéressait, car compris par java. Si vous êtes dans le même cas le certificat x.509 est généralement le deuxième.
Il faut donc extraire ce certificat du fichier et le placé dans un nouveau fichier, par exemple mon_cert.cer.
Un certificat est de la forme :
ocument and Settingsuser_name.keystore.
Vous pouvez toujours en créer un nouveau (je vous laisse chercher la commande :-p) et placé le certificat dans ce nouveau trousseau en ajoutant l’argument –keystore avec le chemin du nouveau trousseau.
4. Nous devons maintenant signaler à Tomcat qu’il peut utiliser ce trousseau comme un trousseau de confiance.
Pour cela nous allons devoir ajouter des arguments au fichier catalina.bat en ajoutant la ligne suivante :
4. La dernière étape consiste à modifier le fichier ldap-authentication-context.xml.
Voici mon fichier après modification :
J’espère que ces quelques lignes auront pue vous aider.
Cordialement,
Jey.
Je déterre ce vieux sujet car j’ai passé les deux derniers jours à essayer de mettre en place l’authentification LDAP en utilisant le cryptage SSL.
Et je dois avouer que cela n’a pas été de tout repos.
Je vais donc donné ici un résumé de tout ce que j’ai pue apprendre pendant ces deux jours en espérant que cela soit utile à quelqu’un.
Voici d’abord le détail de ma configuration (pour lever toutes ambiguïtés) : Alfresco 2.0, en version bundle avec Tomcat, installé sous Windows XP.
Le protocole SSL repose sur l’utilisation de certificats. Lors de la connexion sécurisé à un site web, votre navigateur vous demande si vous voulez accepter ou non ce certificat. Dans le cas d’Alfresco, le serveur d’application ne dispose pas d’interface graphique pour effectuer cette opération.
Il faut donc récupérer le certificat de l’annuaire, et le spécifier comme certificat de confiance à Tomcat pour qu’il puisse l’utiliser.
1. Commençons par récupérer le certificat : pour ma part j’ai utilisé l’utilitaire openSSL, via la commande :
openSSL> s_client –connect serveur_urlCette commande vous retourne le certificat du serveur.ort -showcerts
Il faut stocker ce certificat dans un fichier, par exemple temp.cer
2. Dans mon cas le certificat était en fait composé de deux certificats, dont un seul, encodé en x.509 m’intéressait, car compris par java. Si vous êtes dans le même cas le certificat x.509 est généralement le deuxième.
Il faut donc extraire ce certificat du fichier et le placé dans un nouveau fichier, par exemple mon_cert.cer.
Un certificat est de la forme :
—–BEGIN CERTIFICATE—–3. Nous allons maintenant ajouter ce certificat au trousseau de clé de java. Pour cela nous allons utiliser l’outil keytool de la manière suivante :
***
***
***
—–END CERTIFICATE—–
%JAVA_HOME/bin/keytool.exe -import -file mon_cert.cerPar défaut le trousseau de clé ce trouve dans le fichier c
ocument and Settingsuser_name.keystore.Vous pouvez toujours en créer un nouveau (je vous laisse chercher la commande :-p) et placé le certificat dans ce nouveau trousseau en ajoutant l’argument –keystore avec le chemin du nouveau trousseau.
4. Nous devons maintenant signaler à Tomcat qu’il peut utiliser ce trousseau comme un trousseau de confiance.
Pour cela nous allons devoir ajouter des arguments au fichier catalina.bat en ajoutant la ligne suivante :
set CATALINA_OPTS=-Djavax.net.ssl.trustStore=chemintrouceau -Djavax.net.ssl.trustStorePassword=***Si vous utilisez le trousseau java par défaut (.keystore), la valeur du mot de passe est « changeit » (sans les guillemets évidement).
4. La dernière étape consiste à modifier le fichier ldap-authentication-context.xml.
Voici mon fichier après modification :
<beans>Voila votre authentification via LDAP avec SSL devrait désormais être pleinement fonctionnelle.
<bean id="authenticationComponent" class="org.alfresco.repo.security.authentication.ldap.LDAPAuthenticationComponentImpl">
<property name="LDAPInitialDirContextFactory">
<ref bean="ldapInitialDirContextFactory"/>
</property>
<property name="userNameFormat">
<value>cn=%s,ou=**,ou=**,o=**</value>
</property>
</bean>
<bean id="ldapInitialDirContextFactory" class="org.alfresco.repo.security.authentication.ldap.LDAPInitialDirContextFactoryImpl">
<property name="initialDirContextEnvironment">
<map>
<entry key="java.naming.security.protocol">
<value>ssl</value>
</entry>
<entry key="java.naming.factory.initial">
<value>com.sun.jndi.ldap.LdapCtxFactory</value>
</entry>
<entry key="java.naming.provider.url">
<value>ldap://**.**.**:636</value>
</entry>
<entry key="java.naming.security.authentication">
<value>simple</value>
</entry>
<entry key="java.naming.security.principal">
<value>**</value>
</entry>
<entry key="java.naming.security.credentials">
<value>**</value>
</entry>
</map>
</property>
</bean>
</beans>
J’espère que ces quelques lignes auront pue vous aider.
Cordialement,
Jey.
