Project

General

Profile

Tâche #12594

Distribution EOLE - Scénario #12639: Assistance aux utilisateurs (36-38)

Apparmor bloque /etc/ssl/local_ca

Added by Pascal MIETLICKI over 5 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Start date:
08/17/2015
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
Remaining (hours):
0.0

Description

Comme indiqué dans la documentation, on peut ajouter des certificats internes, des CA locales (ldap, etc.) dans le dossier /etc/ssl/local_ca.

Cependant, si on active cela et qu'on le stipule dans gen_config, on a une erreur au démarrage de l'annuaire ldap.

Il faut modifier la configuration de apparmor pour permettre l'accès en lecture sur le dossier dans /etc/apparmor.d/usr.sbin.slapd, il faut ajouter :
/etc/ssl/local_ca/* r,

Je pense que c'est une anomalie, je préfère donc la faire remonter.

Bonne journée et à bientôt,
Pascal

History

#1 Updated by Joël Cuissinat over 5 years ago

  • Estimated time set to 2.00 h
  • Parent task set to #12639

#2 Updated by Joël Cuissinat over 5 years ago

  • Remaining (hours) set to 2.0

#3 Updated by Fabrice Barconnière over 5 years ago

Le répertoire /etc/ssl/local_ca n'accueille que des certificats CA.
Dans gen_config , on peut déclarer des certificats et des clés privées qui devraient être présents respectivement dans /etc/ssl/certs/ et /etc/ssl/private/ (pas dans /etc/ssl/local_ca/)
Le problème est-il toujours le même dans ce cas ?

#4 Updated by Scrum Master over 5 years ago

  • Status changed from Nouveau to En cours

#5 Updated by Scrum Master over 5 years ago

  • Assigned To set to Fabrice Barconnière

#6 Updated by Fabrice Barconnière over 5 years ago

  • % Done changed from 0 to 100
  • Remaining (hours) changed from 2.0 to 0.0
Rectificatif après tests en plaçant :
  • le fichier de certificat CA interne dans /etc/ssl/local_ca/
  • le fichier de certificat issu de la CA internet dans /etc/ssl/certs/
  • la clé privée correspondant au certificat dans /etc/ssl/certs/ (pas dans /etc/ssl/private/)
    et en déclarant les bons chemins dans gen_config suivi de reconfigure.
    L'annuaire ldap démarre correctement.

#7 Updated by Scrum Master over 5 years ago

  • Status changed from En cours to Résolu

#8 Updated by Gérald Schwartzmann over 5 years ago

  • Remaining (hours) changed from 0.0 to 0.5

Éclaircissement et ajout d'un avertissement dans la doc, à relire :

/2_4/commun/02_miseEnOeuvre/04_configuration/03_configurationExperte/07_certificats.scen
/2_5/commun/02_miseEnOeuvre/04_configuration/03_configurationExperte/07_certificats.scen

http://eole.ac-dijon.fr/pub/Documentations/manuels/2.4/partielles/HTML/EOLE/co/07_certificats.html#jfN13a
http://eole.ac-dijon.fr/pub/Documentations/manuels/2.5/partielles/HTML/EOLE/co/07_certificats.html#jfN13a

#10 Updated by Joël Cuissinat over 5 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

Also available in: Atom PDF