From bd74d07e07702931c83fe36c3b297a084b85f89f Mon Sep 17 00:00:00 2001
From: whirigoyen <whirigoyen+gitit@evolix.fr>
Date: Fri, 17 Jun 2022 15:54:50 +0200
Subject: [PATCH] Ajout infos manquantes pour activer LDAPS

---
 HowtoOpenLDAP.md | 20 +++++++++++++++-----
 1 file changed, 15 insertions(+), 5 deletions(-)

diff --git a/HowtoOpenLDAP.md b/HowtoOpenLDAP.md
index 2a36cc3a..d6b93fcf 100644
--- a/HowtoOpenLDAP.md
+++ b/HowtoOpenLDAP.md
@@ -218,15 +218,25 @@ Attention, si l'on modifie les index, il faut absolument les regénérer avec la
 
 ### Activer SSL (LDAPS)
 
-Rajouter dans _cn=config_ :
+Autoriser l'utilisateur `openldap` à accéder aux fichiers du groupe `ssl-cert` :
 
 ~~~
-olcTLSCertificateFile: /etc/ssl/certs/ssl-cert-snakeoil.pem
-olcTLSCertificateKeyFile: /etc/ssl/private/ssl-cert-snakeoil.key
-olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
+# usermod -aG ssl-cert openldap
+# systemctl restart slapd
 ~~~
 
-Et dans */etc/default/slapd* par exemple :
+Ajouter dans le noeud `cn=config` :
+
+~~~
+# ldapvi -Y EXTERNAL -h ldapi:// -b cn=config
++olcTLSCertificateFile: /etc/ssl/certs/ssl-cert-snakeoil.pem
++olcTLSCertificateKeyFile: /etc/ssl/private/ssl-cert-snakeoil.key
++olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
+~~~
+
+Note : si le fichier `/etc/ssl/certs/cacert.pem` n'existe pas, ne pas ajouter cette ligne.
+
+Et dans `/etc/default/slapd` (par exemple) :
 
 ~~~
 SLAPD_SERVICES="ldap://127.0.0.1:389/ ldapi:/// ldaps:///"