Tâche #30009
Scénario #30256: Traitement express MEN (25-27)
La connexion au frontend ONE avec un compte LDAP en ldaps n'est pas fonctionnelle
100%
Description
HP-003-02
https://dev-eole.ac-dijon.fr/squash/executions/10449
#8, le tcpcheck échoue sur horus
la commande tcpcheck 3 horus.domhorus.ac-test.fr:636
échoue, alors qu'elle devrait réussir
Demandes liées
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Joël Cuissinat
#2 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Lié à Tâche #25368: Le DNS EOLE (hestia.eole.lan) doit déléguer les zones des Scribe et Horus AD ajouté
#3 Mis à jour par Joël Cuissinat il y a environ 4 ans
Il y a eu toute une période, où les machines ACA Scribe et Horus avaient un sous-domaine, ce n'est plus le cas :
root@hapy:~# ping horus.domhorus.ac-test.fr ping: horus.domhorus.ac-test.fr: Nom ou service inconnu
#4 Mis à jour par Joël Cuissinat il y a environ 4 ans
En (re)mettant horus.ac-test (test mis à jour avec un jeu de donnée), le test passe jusqu'au pas n°12 mais on n'arrive pas à se logguer sur l'interface (Invalid username or password) et il n'y a absolument rien dans les logs du module Hâpy.
J'ai pensé à un problème (nouveau) de certificats mais l'exécution des commandes suivantes n'a rien changé :
root@hapy:~# scp root@horus.ac-test.fr:/etc/ssl/certs/ca_local.crt /usr/local/share/ca-certificates/ Warning: Permanently added 'horus.ac-test.fr,192.168.0.25' (ECDSA) to the list of known hosts. root@horus.ac-test.fr's password: ca_local.crt 100% 1801 1.2MB/s 00:00 root@hapy:~# update-ca-certificates Updating certificates in /etc/ssl/certs... rehash: warning: skipping duplicate certificate in ca.crt rehash: warning: skipping duplicate certificate in eole.pem 1 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d... done.
En creusant, on peut trouver une erreur sur Horus :
root@horus:~# slapd -f /etc/ldap/slapd.conf -u openldap -g openldap -d 256 -h 'ldaps:// ldap:// ldapi://' 5ebd0058 @(#) $OpenLDAP: slapd (Ubuntu) (May 1 2020 17:11:02) $ Debian OpenLDAP Maintainers <pkg-openldap-devel@lists.alioth.debian.org> 5ebd0058 slapd starting 5ebd0063 conn=1000 fd=18 ACCEPT from IP=127.0.0.1:51100 (IP=0.0.0.0:389) 5ebd0063 conn=1000 op=0 SRCH base="o=gouv,c=fr" scope=2 deref=0 filter="(objectClass=inetOrgPerson)" 5ebd0063 conn=1000 op=0 SRCH attr=1.1 5ebd0063 conn=1000 op=0 SEARCH RESULT tag=101 err=0 nentries=2 text= 5ebd0063 conn=1000 op=1 SRCH base="o=gouv,c=fr" scope=2 deref=0 filter="(objectClass=posixGroup)" 5ebd0063 conn=1000 op=1 SRCH attr=1.1 5ebd0063 conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=6 text= 5ebd0063 conn=1000 op=2 SRCH base="o=gouv,c=fr" scope=2 deref=0 filter="(objectClass=sambaFileShare)" 5ebd0063 conn=1000 op=2 SRCH attr=1.1 5ebd0063 conn=1000 op=2 SEARCH RESULT tag=101 err=0 nentries=4 text= 5ebd0064 conn=1000 op=3 SRCH base="o=gouv,c=fr" scope=2 deref=0 filter="(&(objectClass=posixAccount)(description=computer))" 5ebd0064 conn=1000 op=3 SRCH attr=1.1 5ebd0064 conn=1000 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text= 5ebd0064 conn=1000 op=4 UNBIND 5ebd0064 conn=1000 fd=18 closed 5ebd0067 conn=1001 fd=18 ACCEPT from IP=192.168.0.115:59078 (IP=0.0.0.0:636) 5ebd0067 conn=1001 fd=18 TLS established tls_ssf=256 ssf=256 5ebd0067 conn=1001 fd=18 closed (connection lost) 5ebd0068 conn=1002 fd=18 ACCEPT from IP=192.168.0.115:59082 (IP=0.0.0.0:636) 5ebd0068 conn=1002 fd=18 TLS established tls_ssf=256 ssf=256 5ebd0068 conn=1002 fd=18 closed (connection lost)
#5 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Statut changé de En cours à Nouveau
En déployant le module Hâpy puis le module Horus en 2.7.1, cela ne fonctionne pas mieux !
L'authentification en mode ldap "simple" est bien fonctionnelle.
#6 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Assigné à
Joël Cuissinatsupprimé - Tâche parente
#29871supprimé
#7 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Tracker changé de Tâche à Scénario
- Sujet changé de HP-003-02, #8, le tcpcheck échoue sur horus à La connexion au frontend ONE avec un compte LDAP en ldaps n'est pas fonctionnelle
- Description mis à jour (diff)
- Echéance mis à 22/05/2020
- Version cible changé de Prestation Cadoles MEN 19-21 à sprint 2020 19-21 Equipe MENSR
#8 Mis à jour par Daniel Dehennin il y a environ 4 ans
Cela vient du certificat non reconnu, même sur Horus lui même :
root@horus:~# ldapsearch -x -d 1 -H ldaps://localhost:636 -b o=gouv,c=fr ldap_url_parse_ext(ldaps://localhost:636) ldap_create ldap_url_parse_ext(ldaps://localhost:636/??base) ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP localhost:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 127.0.0.1:636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 attempting to connect: connect success TLS: peer cert untrusted or revoked (0x42) TLS: can't connect: (unknown error code). ldap_err2string ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Sur Hâpy, j'ai :
- Ajouté une entrée
/etc/hosts
pourhorus.domhorus.ac-test.fr
(+reconfigure) - Configuré le fichier contenant toutes les CA :
echo TLS_CACERT /etc/ssl/certs/ca-certificates.crt >> /etc/ldap/ldap.conf
- Ajouté la CA de l'Horus à l'Hapy :
root@hapy:~# scp root@horus.ac-test.fr:/etc/ssl/certs/ca.crt /usr/local/share/ca-certificates/horus.ac-test.fr.crt ca.crt 100% 1801 1.1MB/s 00:00 root@hapy:~# update-ca-certificates Updating certificates in /etc/ssl/certs... rehash: warning: skipping duplicate certificate in ca.crt rehash: warning: skipping duplicate certificate in eole.pem 1 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d... done.
#9 Mis à jour par Daniel Dehennin il y a environ 4 ans
- Fichier onehorus.png Voir ajouté
En tout cas je confirme que cela fonctionne :
#10 Mis à jour par Joël Cuissinat il y a presque 4 ans
- Version cible changé de sprint 2020 19-21 Equipe MENSR à sprint 2020 22-24 Equipe MENSR
#11 Mis à jour par Joël Cuissinat il y a presque 4 ans
- Tâche parente mis à #30256
#12 Mis à jour par Joël Cuissinat il y a presque 4 ans
- Assigné à mis à Joël Cuissinat
#13 Mis à jour par Joël Cuissinat il y a presque 4 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
J'ai repris le test pour qu'il soit exécuté avec aca.scribe afin d'anticiper la disparition d'Horus en 2.8.
J'ai réussi à l'exécuter sans avoir recours à une copie de certificat ou une modification de configuration !
Ceci dit quand on voit ce qui suit, ça ne m'étonne guère :
root@hapy:~# tail -n3 /etc/ldap/ldap.conf tls_checkpeer no TLSVerifyClient never TLS_REQCERT never
#14 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Statut changé de Résolu à En cours
Modification du pas 8 :
ne demande plus l'enregistrement des valeurs dans gen_config, c'est fait avec l'appel au cas de test de la bibliothèque dans les pas suivants.
Scribe ne semble pas écouter sur 636 : https://dev-eole.ac-dijon.fr/squash/executions/10760
#15 Mis à jour par Fabrice Barconnière il y a presque 4 ans
Au 2ème reconfigure du Scribe, C'est OK.
J'approuve le test mais je le laisse en erreur.
Demande pour traiter le cas double reconfigure pour que le ldap_ssl fonctionne sur Scribe : #30361
#16 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Lié à Tâche #30361: Scribe 2.7.2 nécessite 2 reconfigure pour que ldap_ssl uniquement fonctionne ajouté
#17 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Statut changé de En cours à Résolu
#18 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) mis à 0.0