Scénario #31635
L’autorité de certificat locale n’est pas connue du système ca-certificates sur Seth (et peut-être d’autres)
Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
Début:
22/02/2021
Echéance:
12/03/2021
% réalisé:
100%
Points de scénarios:
3.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
Liens avec la release:
Auto
Description
Problèmes¶
Seth¶
Sur un aca.dc1-2.8.0-instance-avecImport
, exécuter la commande suivante :
ldapsearch -H ldaps://localhost -b dc=domseth,dc=ac-test,dc=fr -DCN=admin,CN=Users,DC=domseth,DC=ac-test,DC=fr -W
Après avoir saisi le mot de passe, cela renvoie les messages suivants :
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) root@dc1:~# ldapsearch -d1 -H ldaps://localhost -b dc=domseth,dc=ac-test,dc=fr -DCN=admin,CN=Users,DC=domseth,DC=ac-test,DC=fr -W ldap_url_parse_ext(ldaps://localhost) ldap_create ldap_url_parse_ext(ldaps://localhost:636/??base) Enter LDAP Password: ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP localhost:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 127.0.0.1:636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 attempting to connect: connect success TLS: peer cert untrusted or revoked (0x42) TLS: can't connect: (unknown error code). ldap_err2string ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
La configuration LDAP est vierge :
root@dc1:~# cat /etc/ldap/ldap.conf # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. #BASE dc=example,dc=com #URI ldap://ldap.example.com ldap://ldap-master.example.com:666 #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never # TLS certificates (needed for GnuTLS) TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Scribe¶
Nous avons un problème équivalent sur Scribe :
root@scribe:~# ldapsearch -d1 -x -H ldaps://addc.domscribe.ac-test.fr ldap_url_parse_ext(ldaps://addc.domscribe.ac-test.fr) ldap_create ldap_url_parse_ext(ldaps://addc.domscribe.ac-test.fr:636/??base) ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP addc.domscribe.ac-test.fr:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 192.0.2.2:636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 attempting to connect: connect success TLS: peer cert untrusted or revoked (0x42) TLS: can't connect: (unknown error code). ldap_err2string ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Avec une configuration LDAP non adaptée :
root@scribe:~# cat /etc/ldap/ldap.conf # cas Amon sans AmonEcole host 127.0.0.1 base o=gouv,c=fr port 389 timelimit 10 bind_time_limit 10 bind_policy soft ldap_version 3 scope sub pam_login_attribute uid pam_password md5 nss_map_attribute gecos displayName nss_base_passwd o=gouv,c=fr?sub nss_base_group o=gouv,c=fr?sub #fixe #1809 nss_initgroups_ignoreusers root ssl off
Proposition¶
- À faire pour EOLE >= 2.8.0
- Lorsque les certificats sont en mode
autosigné
, il faut intégrer l’autorité de certification locale àca-certificates
- La configuration LDAP devrait toujours inclure
TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Critères d'acceptations¶
Scribe¶
Sur aca.scribe-2.8.0-instance-AvecImport
:
- La commande
ldapsearch -LLL -o ldif-wrap=no -x cn=professeurs dn
doit affichier le résultat suivant, sans poser de question :dn: cn=professeurs,ou=local,ou=groupes,ou=0000000A,ou=ac-test,ou=education,o=gouv,c=fr
- La commande
ldapsearch -LLL -o ldif-wrap=no -b dc=domscribe,dc=ac-test,dc=fr -x -H ldaps://addc.domscribe.ac-test.fr -Dcn=admin,cn=Users,dc=domscribe,dc=ac-test,dc=fr -W cn=professeurs dn
doit affichier le résultat suivant, en ne demandant que le mot de passe de l'utilisateuradmin
:dn: CN=professeurs,CN=Users,DC=domscribe,DC=ac-test,DC=fr # refldaps://domscribe.ac-test.fr/CN=Configuration,DC=domscribe,DC=ac-test,DC=fr # refldaps://domscribe.ac-test.fr/DC=DomainDnsZones,DC=domscribe,DC=ac-test,DC=fr # refldaps://domscribe.ac-test.fr/DC=ForestDnsZones,DC=domscribe,DC=ac-test,DC=fr
Seth¶
Sur aca.dc1-2.8.0-instanceAvecImport
- La commande
ldapsearch -LLL -o ldif-wrap=no -b dc=domseth,dc=ac-test,dc=fr -x -H ldaps://dc1.domseth.ac-test.fr -Dcn=admin,cn=Users,dc=domseth,dc=ac-test,dc=fr -W cn=professeurs dn
doit affichier le résultat suivant, en ne demandant que le mot de passe de l'utilisateuradmin
:dn: CN=professeurs,CN=Users,DC=domscribe,DC=ac-test,DC=fr # refldaps://domscribe.ac-test.fr/CN=Configuration,DC=domscribe,DC=ac-test,DC=fr # refldaps://domscribe.ac-test.fr/DC=DomainDnsZones,DC=domscribe,DC=ac-test,DC=fr # refldaps://domscribe.ac-test.fr/DC=ForestDnsZones,DC=domscribe,DC=ac-test,DC=fr
Sous-tâches
Demandes liées
Historique
#1 Mis à jour par Daniel Dehennin il y a plus de 3 ans
- Description mis à jour (diff)
#2 Mis à jour par Daniel Dehennin il y a plus de 3 ans
Cela est très problématique pour la mise en place de LemonLDAP::NG qui se connecte sur le service LDAPS du Samba.
#3 Mis à jour par Daniel Dehennin il y a plus de 3 ans
- Description mis à jour (diff)
#4 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Sujet changé de L’autorité de certificat locale n’est pas connu du système ca-certificates sur Seth (et peut-être d’autres) à L’autorité de certificat locale n’est pas connue du système ca-certificates sur Seth (et peut-être d’autres)
#5 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Début
04/02/2021supprimé - Tâche parente
#31587supprimé
#6 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Tracker changé de Tâche à Scénario
- Description mis à jour (diff)
- Echéance mis à 12/03/2021
- Version cible changé de sprint 2021 05-07 Equipe MENSR à Prestation Cadoles MEN 08-10
- Début mis à 22/02/2021
- Release mis à EOLE 2.8.0.1
- Points de scénarios mis à 3.0
#7 Mis à jour par Benjamin Bohard il y a plus de 3 ans
- Assigné à mis à Benjamin Bohard
#8 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Lié à Tâche #31739: Valider le scénario L’autorité de certificat locale n’est pas connue du système ca-certificates sur Seth (et peut-être d’autres) ajouté
#9 Mis à jour par Benjamin Bohard il y a environ 3 ans
- Statut changé de Nouveau à Résolu
#10 Mis à jour par Daniel Dehennin il y a environ 3 ans
- Statut changé de Résolu à Terminé (Sprint)
Je confirme le bon fonctionnement des critères d’acceptation.
J’ai intégré la branche 2.8.0/master
de creole à la branche master
et refait un paquet eole-2.8-unstable
.