SSO Kerberos self-service (bind_sasl_kerberos) en bind LDAP non signé

Venez ici partager vos astuces et aides autour de Samba4
ngallouj
Messages : 1
Inscription : 15 juil. 2026 - 11:07

15 juil. 2026 - 11:11

Nous préparons l'activation de la stratégie AD "LDAP Server Signing Requirements" sur nos contrôleurs de domaine. En auditant le trafic LDAP non signé (event 2889), nous avons identifié que le module self-service de WAPT (get_allowed_domain_usergroups() dans waptservice/service.py, vérification du groupe waptselfservice) effectue un bind SASL/GSSAPI non signé via pyldap.PyLdapClient.bind_sasl_kerberos().

Confirmé : aucune propriété de sécurité SASL demandée (pas de signing), et la config système OpenLDAP (SASL_SECPROPS dans /etc/ldap/ldap.conf) est sans effet - le module pyldap semble embarqué directement dans le binaire waptservice (introuvable comme fichier), donc aucune configuration/contournement possible de notre côté.

Par comparaison, l'authentification de la console admin (auth_module_ad.check_credentials_ad) gère correctement LDAPS/SASL via ldap_auth_server - seul le self-service semble concerné.

Ma question : comportement connu ? Option de config non documentée pour forcer le signing ? Correctif prévu dans une future version ?

Merci pour vos retour
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1974
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

15 juil. 2026 - 11:59

Bonjour Nabil,

si le signing n'est pas demandé à ce niveau c'est pas normal. Est ce que vous pouvez me confirmer la version Wapt et l'OS client qui fait tourner le selfservice?

Normalement le client pyLDAP Lazarus fait du signing si le serveur le demande.

Cordialement,

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Répondre