Tâche #12594: Apparmor bloque /etc/ssl/local_ca - Scribe - Ensemble Ouvert Libre Évolutif

Tâche #12594

Distribution EOLE - Scénario #12639: Assistance aux utilisateurs (36-38)

Apparmor bloque /etc/ssl/local_ca

Ajouté par Pascal MIETLICKI il y a presque 9 ans. Mis à jour il y a plus de 8 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Fabrice Barconnière

Version cible:

Distribution EOLE - Sprint_2015_36-38 - Équipe MENESR

Début:

17/08/2015

Echéance:

% réalisé:

100%

Temps estimé:

2.00 h

Temps passé:

2.75 h

Restant à faire (heures):

0.0

Description

Comme indiqué dans la documentation, on peut ajouter des certificats internes, des CA locales (ldap, etc.) dans le dossier /etc/ssl/local_ca.

Cependant, si on active cela et qu'on le stipule dans gen_config, on a une erreur au démarrage de l'annuaire ldap.

Il faut modifier la configuration de apparmor pour permettre l'accès en lecture sur le dossier dans /etc/apparmor.d/usr.sbin.slapd, il faut ajouter :
/etc/ssl/local_ca/* r,

Je pense que c'est une anomalie, je préfère donc la faire remonter.

Bonne journée et à bientôt,
Pascal

Historique

#1 Mis à jour par Joël Cuissinat il y a plus de 8 ans

Temps estimé mis à 2.00 h
Tâche parente mis à #12639

Pour étude.
C'est bien dans la doc officielle de l'onglet : http://eole.ac-dijon.fr/pub/Documentations/manuels/2.4/partielles/HTML/EOLE/co/07_certificats.html#jfN13a

#2 Mis à jour par Joël Cuissinat il y a plus de 8 ans

Restant à faire (heures) mis à 2.0

#3 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Le répertoire /etc/ssl/local_ca n'accueille que des certificats CA.
Dans gen_config , on peut déclarer des certificats et des clés privées qui devraient être présents respectivement dans /etc/ssl/certs/ et /etc/ssl/private/ (pas dans /etc/ssl/local_ca/)
Le problème est-il toujours le même dans ce cas ?

#4 Mis à jour par Scrum Master il y a plus de 8 ans

Statut changé de Nouveau à En cours

#5 Mis à jour par Scrum Master il y a plus de 8 ans

Assigné à mis à Fabrice Barconnière

#6 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

% réalisé changé de 0 à 100
Restant à faire (heures) changé de 2.0 à 0.0

Rectificatif après tests en plaçant :

le fichier de certificat CA interne dans /etc/ssl/local_ca/
le fichier de certificat issu de la CA internet dans /etc/ssl/certs/
la clé privée correspondant au certificat dans /etc/ssl/certs/ (pas dans /etc/ssl/private/)
et en déclarant les bons chemins dans gen_config suivi de reconfigure.
L'annuaire ldap démarre correctement.

#7 Mis à jour par Scrum Master il y a plus de 8 ans

Statut changé de En cours à Résolu

#8 Mis à jour par Gérald Schwartzmann il y a plus de 8 ans

Restant à faire (heures) changé de 0.0 à 0.5

Éclaircissement et ajout d'un avertissement dans la doc, à relire :

/2_4/commun/02_miseEnOeuvre/04_configuration/03_configurationExperte/07_certificats.scen
/2_5/commun/02_miseEnOeuvre/04_configuration/03_configurationExperte/07_certificats.scen

http://eole.ac-dijon.fr/pub/Documentations/manuels/2.4/partielles/HTML/EOLE/co/07_certificats.html#jfN13a
http://eole.ac-dijon.fr/pub/Documentations/manuels/2.5/partielles/HTML/EOLE/co/07_certificats.html#jfN13a

#9 Mis à jour par Joël Cuissinat il y a plus de 8 ans

Vu dans les docs "beta" :

#10 Mis à jour par Joël Cuissinat il y a plus de 8 ans

Statut changé de Résolu à Fermé
Restant à faire (heures) changé de 0.5 à 0.0

Formats disponibles : Atom PDF

Projet

Général

Profil

Distribution EOLE » Modules » Scribe

Demandes

Rapports personnalisés