Pb LDAPS et certificat avec java

Added by Mat Demb 4 months ago

Bonjour,
j'ai un problème sur l'installation que je suis en train de faire.
J'ai configuré le ldap pour qu'il se connecte à un de nos serveurs ldap en ldaps, ca fonctionne.
Par contre si je passe par l'URL qui renvoi vers un de nos serveurs aléatoirement, j'obtiens une erreur:
[DEBUG]:http-bio-8080-exec-7:20180808.092811:org.linagora.linshare.core.service.impl.UserProviderServiceImpl:throwError:org.springframework.ldap.CommunicationException: ForestDnsZones.domaine.net:3269; nested exception is javax.naming.CommunicationException: ForestDnsZones.domaine.net:3269 [Root exception is javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative DNS name matching ForestDnsZones.domaine.net found.]

D'après ce que j'ai trouvé c'est parce que j'interroge ForestDnsZones.domaine.net mais le certificat du serveur vers laquelle la requête est renvoyée contient le nom du serveur lui-même (ldap1.domaine.net ou ldap2.domaine.net) et pas du "raccourci". Le FQDN requêté et celui répondant étant différent, ca ne plait pas à java/tomcat. Ce qui dans l'absolu semble logique.
Sauf que ne pouvant pas spécifier plusieurs adresses de serveur ldap dans linshare, j'en suis contraint à n'utiliser qu'un seul de nos serveurs, ce qui est un peu dommage.
Existe t'il une alternative?
Dans les solutions trouvées sur le net, aucune ne fonctionne.
Le plus bizarre c'est que sur mon install de test qui date de plusieurs mois, je ne me rappelle pas avoir eu le problème...
Toute aide est la bienvenue!!

PS: j'ai préalablement importé le certificat racine du domaine.

[AJOUT]
j'ai finalement trouvé la solution sur le support redhat (je suis en CentOS7)
ajouter -Dcom.sun.jndi.ldap.object.disableEndpointIdentification=true dans les JAVA_OPTS dans /etc/sysconfig/tomcat
Ca n'est pas très propre dans la mesure ou ça désactive la vérification mais ça dépanne.
Sinon il faut modifier les certificats des serveurs et ajouter un subject alternative name.
Apparemment, cet ajout de sécurité pour LDAPS fait suite à une mise à jour de java (Java 8 u181,Java 7 u191 et java 6 u201)

MD


Replies (1)

RE: Pb LDAPS et certificat avec java - Added by Frédéric MARTIN 2 months ago

Bonjour,

Je n'ai jamais été confronté à ce genre de problème. Je vous remercie pour le partage de cette solution avec la communauté.

Cordialement,

(1-1/1)