Scénario #11782
balise tcpwrapper pour les services de base non migrée de 2.4.0 à 2.4.2
100%
Description
Sur AMON 2.4.1 les adresses autorisées à se connecter via SSH renseignées dans gen_config ne sont pas écrites dans le fichier /etc/hosts.allow (aucune connexion ssh n'est donc possible )
Lors de nos tests nous constatons que :
- Le fichier /etc/hosts.allow n'est déclaré ni dans le dictionnaire 01_network.xml ni dans le dictionnaire 10_era.xml
- En ajoutant la balise <file name='/etc/hosts.allow'/> dans l'un ou dans l'autre de ces dictionaires le job est fait
Subtasks
History
#1 Updated by Emmanuel GARETTE almost 8 years ago
Bonjour,
Merci pour cette remontée.
Logiquement le fichier /etc/hosts.allow est généré par Era et non creole. Il y a eu quelques corrections sur la gestion du fichier hosts.allow sur la 2.4.1.1. Cette version va être diffusé dans les jours qui viennent. Pourriez-vous tester si vous avez toujours des dysfonctionnements après mise à jour vers la version "candidate" ?
Pour tester faire :
Maj-Auto -S test-eole.ac-dijon.fr
Et nous dire si le problème est encore présent chez vous ?
Cordialement,
#2 Updated by Emmanuel GARETTE almost 8 years ago
- Status changed from Nouveau to En attente d'informations
#3 Updated by Benoit Guinet almost 8 years ago
Bonjour,
Nous venons d'effectuer la mise à jour vers la version "candidate" et le problème n'est pas résolu : le fichier /etc/hosts.allow est toujours vide.
Si ça peut aider, nous n'avons pas ce probleme sur les amons 2.4.0
Cordialemenent.
#4 Updated by Emmanuel GARETTE almost 8 years ago
Utilisez-vous les modèles par défaut, utilisez-vous le mécanisme d'héritage ( http://eole.ac-dijon.fr/documentations/2.4/partielles/HTML/ERA/co/7-ImbriquerDesModeles.html ) ou avez-vous un modèle propre a vous ?
Depuis le 2.4.1, tcpwrapper est géré directement depuis Era et non depuis un template (ce qui n'était pas trop flexible).
Pour plus d'informations : https://dev-eole.ac-dijon.fr/issues/2735
Si vous avez vos propres modèles, il va falloir les mettre à jour. Pour cela éditer les services et ajouter les informations tcpwrapper : http://eole.ac-dijon.fr/documentations/2.4/partielles/HTML/ERA/co/2-Services.html
Voici les services que nous avons dans nos modèles et les valeurs de tcpwrapper :
ldap => slapd
ldaps => slapd
ssh => sshd
tftpd-hpa => in.tftpd
Habituellement, nous faisons attention qu'une modification ne provoque pas de régression, mais nous devions faire cette modification pour plus de cohérence.
#5 Updated by Benoit Guinet almost 8 years ago
Effectivement nous utilisons nos propres modèles de firewall et nous sommes passé à coté de l'évolution dans la gestion de tcpwrapper.
Le fichier /etc/hosts.allow est bien généré après avoir édité les services dans era tel qu'indiqué dans la doc.
#6 Updated by Emmanuel GARETTE almost 8 years ago
- Status changed from En attente d'informations to Nouveau
Merci pour ces informations.
Je vais proposé de modifier Era pour ajouter automatiquement les champs tcpwrapper pour ces 4 services en cas de migration.
Cordialement,
#7 Updated by Emmanuel GARETTE almost 8 years ago
- Tracker changed from Anomalie to Scénario
- Subject changed from /etc/hosts.allow non généré sur AMON 2.4.1 to balise tcpwrapper pour les services de base non migré de 2.4.0 à 2.4.1
- Start date deleted (
05/27/2015) - Release set to Mise à jour 2.4.1.2
- Story points set to 3.0
#8 Updated by Joël Cuissinat almost 8 years ago
- Release changed from Mise à jour 2.4.1.2 to EOLE 2.4.2
#9 Updated by Scrum Master almost 8 years ago
- Due date set to 06/19/2015
- Target version set to Sprint_2015_23-25 - Équipe MENESR
- Start date set to 06/01/2015
#10 Updated by Scrum Master almost 8 years ago
- Assigned To set to force jaune
#11 Updated by Emmanuel GARETTE almost 8 years ago
- Subject changed from balise tcpwrapper pour les services de base non migré de 2.4.0 à 2.4.1 to balise tcpwrapper pour les services de base non migré de 2.4.0 à 2.4.2
#12 Updated by Scrum Master almost 8 years ago
- Subject changed from balise tcpwrapper pour les services de base non migré de 2.4.0 à 2.4.2 to balise tcpwrapper pour les services de base non migrée de 2.4.0 à 2.4.2
#13 Updated by Scrum Master almost 8 years ago
- Status changed from Nouveau to Terminé (Sprint)
#14 Updated by Daniel Dehennin over 7 years ago
ERRATA¶
Migration des modèles ERA en 2.4.1 :¶
Pour résoudre le problème, il s'agit de rajouter dans l'interface ERA un attribut tcpwrapper aux objets de type service qui sont concernés par le tcpwrapper:
Ouvrir votre modèles ERA dans l'interface (lancer era, puis Fichier>Ouvrir). Puis aller dans le menu Bibliothèque>Services et éditer les services concernés par le tcpwrapper.
Il suffit de renseigner le nom tcpwrapper du service (le nom tel qu'il doit apparaître dans le fichier hosts.allow) et le tcpwrapper sera pris en compte dès qu'une directive utilisant ce service sera créée.
Les services concernés sont par défaut :
- pour le service "service d'annuaire" il faut mettre "slapd" ;
- pour le service "service ldaps" il faut mettre "slapd" ;
- pour le service "Accès aux serveurs TFTP" il faut mettre "in.tftpd" ;
- pour le service "ssh" il faut mettre "sshd".
N'oubliez pas de faire un reconfigure ensuite.
Plus d'information dans la doc ERA sur les services, paragraphe "implémenter un service avec tcpwrapper" :
http://eole.ac-dijon.fr/documentations/2.4/beta/partielles/ERA/co/2-Services.html
Migration des modèles ERA en 2.4.2 et plus :¶
Il faut migrer les modèles ERA personnalisés (pas ceux fournis en natif par le paquet ERA).
En effet, il y a eu des changements dans la DTD du format XML interne à l'application ERA : la version XML 2.42.
Un script de migration est fourni pour passer en 2.42, il suffit d'ouvrir le modèle ERA concerné dans l'interface ERA (faire un Fichier>Ouvrir), puis faire un Fichier>Enregistrer et une fenêtre de type popup apparaît au moment de l'enregistrement pour proposer la mise à jour du modèle.