Distribution EOLE » Modules » eCDL

Suite à l'intégration de la dépendance du paquet libnss-winbind' le serveur plante au reboot qui suit 'Maj-Auto -D' et 'reconfigure'

en mode recovery l'eCdl freeze après l'affichage de la ligne

random: nonblocking pool is initialized

si suite à la mise à jour le paquet est désinstallé

:~# dpkg -r --force-depends libnss-winbind
dpkg: libnss-winbind:amd64 : problème de dépendance, mais suppression comme demandé :
 eole-fichier-primaire-pkg dépend de libnss-winbind ; cependant :
  Le paquet libnss-winbind:amd64 doit être supprimé.

(Lecture de la base de données... 97711 fichiers et répertoires déjà installés.)
Suppression de libnss-winbind:amd64 (2:4.1.6+dfsg-1ubuntu2.14.04.9) ...

le serveur redémarre

Aucun souci sur les eSbl, avec la dépendance du paquet 'libnss-winbind' dans 'eole-fichier-membre-pkg'

Reboot après mise à jour sans problème

winbind toujours fonctionnel les eSbl récupèrent bien respectivement les comptes (et groupes) du domaine auxquels ils sont intégrés ainsi que les comptes (et groupes) du domaine approuvé

La dépendance est sur lib*-ldap par défaut mais les modules peuvent installer lib-ldapd (dépendance assouplie dans eole-client-annuaire).

Des tests ont été effectués en paramétrant le fichier nslcd.conf (sur une plateforme avec un accès à l'annuaire sur le port 389)
avec deux domaines approuvés

directives
uri
base
ssl
scope

idem /etc/ldap/ldap.conf

- les comptes et groupes du domaine et du domaine approuvé sont récupérés via getent sur les contrôleurs ddu domaine et du domaine approuvé
- sur les serveurs de fichiers (esbl 2.5) les comptes et groupes du domaine et du domaine approuvé sont également récupérés via getent
- à partir d'un poste client windows XP, l'ouverture de session OK ainsi que l'accès au serveur de fichier du domaine et d'un serveur serveur de fichier du domaine approuvé (esbl 2.5)

reste à vérifier sur l'annuaire amande (protocole ldaps) , ainsi que ouverture de session et accès aux serveurs de fischiers d'un domaine approuvé à partir d'un poste seven

voir fiche #13176 pour la conf nlscd

1) action pour Benjamin :
La configuration de nslcd.conf doit être adaptée pour permettre le focntionnement en ldaps avec les serveurs ldap centraux :

Il faut ajouter cette ligne

tls_cacertfile /etc/certs/CA2010.pem --> sachant que /etc/certs/CA2010.pem vient d'une variable creole

2) action à voir avec Thierry :
le certficat actuel sur les eCDL 2.5 est obsolète /etc/certs/CA2008.pem. Il faut le remplacer par CA2010.pem

Quelle méthode ? on remplace le fichier en conservant le nom actuel (pour éviter un reconfigure ?) ou on utilise le nouveau fichier et son nouveau nom ?

Éventuellement, une variante de la seconde solution : on change le nom pour en choisir un plus générique pour éviter les reconfigure à l'avenir (mais peut-être pas le redémarrage du service si le certificat est mis en cache)

Pour le point 1, il reste une modification à faire (NB : je n'avais pas vu le template intial)

- L'instruction ssl start_tls génère une erreur car le tls est déjà implicitement activé (erreur LDAP en mode debug nslcd)
- l'instruction tls_reqcert never est contradictoire avec le tls_cacertfile %%ldap_ca_cert
- dans un premier temps on ne va pas conditionner la présence du bloc selon ldap_tls 'oui' (bien que ce soit effectivement logique) car tous nos ecdl n'ont pas la valeur OUI... à étudier

Modifications à faire dans le templte nslcd.con

%if %%ldap_tls  'oui' --> à mettre en commentaire
ssl start_tls --> à supprimer
tls_cacertfile %%ldap_ca_cert --> à conserver
tls_reqcert     never --> à supprimer
 %else --> à mettre en commentaire

Fonctionnement correct avec les derniers paquets. La fiche sera fermée parès un nouveau test plus complet

reste une chose à analyser :

faut il ajouter ce paramètre
nss_initgroups_ignoreusers root

--> Il est présent dans ldap.conf, est-ce utile vaec nslcd.conf ??