Project

General

Profile

Tâche #13069

Scénario #13012: Exécuter les tests eCDL 2.5.1

Plantage de l'eCdl au reboot - après une mise à jour intégrant la dépendance du paquet libnss-winbind' dans 'eole-fichier-primaire-pkg'

Added by christophe guerinot over 5 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
09/21/2015
Due date:
% Done:

100%

Estimated time:
3.00 h
Spent time:
Remaining (hours):
0.0

Associated revisions

Revision 99ca96e0 (diff)
Added by Benjamin Bohard over 5 years ago

Permettre le remplacement de lib*-ldap par lib*-ldapd.

Ref #13069

Revision 22ccf265 (diff)
Added by Benjamin Bohard over 5 years ago

Installer lib*-ldapd plutôt que lib*-ldap.

Ref #13069

Revision c7fccb07 (diff)
Added by christophe guerinot over 5 years ago

Utilisation de la librairie libnss-ldapd: paramétrage du fichier de configuration '/etc/nslcd.conf' ( ref #13069 @2.0 )

  • Adaptation du script de bascule en 'secours ldap'
  • cosmétique dans '30_ecdl.xml'

Revision 321a3397 (diff)
Added by Benjamin Bohard over 5 years ago

Indiquer le chemin du certificat dans la configuration de nslcd.

Ref #13069

Revision 36636270 (diff)
Added by Benjamin Bohard over 5 years ago

Renseigner le chemin du certificat indépendamment de l'activation de ldap_tls.

Ref #13069

Revision ff98fbcb (diff)
Added by christophe guerinot almost 5 years ago

ecdl_bascule_ldap: le chemin '/usr/sbin/service' n'est pas correct, les services smbd et nmbd ne sont alors pas relancés ( ref #13069 ).

History

#1 Updated by christophe guerinot over 5 years ago

Suite à l'intégration de la dépendance du paquet libnss-winbind' le serveur plante au reboot qui suit 'Maj-Auto -D' et 'reconfigure'

en mode recovery l'eCdl freeze après l'affichage de la ligne

random: nonblocking pool is initialized

si suite à la mise à jour le paquet est désinstallé

:~# dpkg -r --force-depends libnss-winbind
dpkg: libnss-winbind:amd64 : problème de dépendance, mais suppression comme demandé :
 eole-fichier-primaire-pkg dépend de libnss-winbind ; cependant :
  Le paquet libnss-winbind:amd64 doit être supprimé.

(Lecture de la base de données... 97711 fichiers et répertoires déjà installés.)
Suppression de libnss-winbind:amd64 (2:4.1.6+dfsg-1ubuntu2.14.04.9) ...

le serveur redémarre

#2 Updated by christophe guerinot over 5 years ago

Aucun souci sur les eSbl, avec la dépendance du paquet 'libnss-winbind' dans 'eole-fichier-membre-pkg'

Reboot après mise à jour sans problème

winbind toujours fonctionnel les eSbl récupèrent bien respectivement les comptes (et groupes) du domaine auxquels ils sont intégrés ainsi que les comptes (et groupes) du domaine approuvé

#3 Updated by Benjamin Bohard over 5 years ago

  • Status changed from Nouveau to En cours
  • Estimated time set to 3.00 h
  • Remaining (hours) set to 3.0

Donc, après plus d'essais et d'avis, il ressort que le problème est lié à libnss-ldap (et à une interaction malheureuse avec libnss-winbind ?).

https://wiki.debian.org/fr/LDAP/NSS

https://bugs.launchpad.net/ubuntu/+source/libnss-ldap/+bug/1024475

La solution la plus propre consisterait à remplacer libnss-ldap par libnss-ldapd (dépendance à revoir dans eole-client-annuaire et configuration de nslcd.conf à préparer)

#4 Updated by Benjamin Bohard over 5 years ago

La dépendance est sur lib*-ldap par défaut mais les modules peuvent installer lib-ldapd (dépendance assouplie dans eole-client-annuaire).

#5 Updated by Benjamin Bohard over 5 years ago

  • Remaining (hours) changed from 3.0 to 2.5

#6 Updated by Emmanuel IHRY over 5 years ago

  • Assigned To set to Benjamin Bohard

#7 Updated by christophe guerinot over 5 years ago

Des tests ont été effectués en paramétrant le fichier nslcd.conf (sur une plateforme avec un accès à l'annuaire sur le port 389)
avec deux domaines approuvés

directives
uri
base
ssl
scope

idem /etc/ldap/ldap.conf

- les comptes et groupes du domaine et du domaine approuvé sont récupérés via getent sur les contrôleurs ddu domaine et du domaine approuvé
- sur les serveurs de fichiers (esbl 2.5) les comptes et groupes du domaine et du domaine approuvé sont également récupérés via getent
- à partir d'un poste client windows XP, l'ouverture de session OK ainsi que l'accès au serveur de fichier du domaine et d'un serveur serveur de fichier du domaine approuvé (esbl 2.5)

reste à vérifier sur l'annuaire amande (protocole ldaps) , ainsi que ouverture de session et accès aux serveurs de fischiers d'un domaine approuvé à partir d'un poste seven

#8 Updated by Emmanuel IHRY over 5 years ago

voir fiche #13176 pour la conf nlscd

#9 Updated by Emmanuel IHRY over 5 years ago

1) action pour Benjamin :
La configuration de nslcd.conf doit être adaptée pour permettre le focntionnement en ldaps avec les serveurs ldap centraux :

Il faut ajouter cette ligne

tls_cacertfile /etc/certs/CA2010.pem --> sachant que /etc/certs/CA2010.pem vient d'une variable creole

2) action à voir avec Thierry :
le certficat actuel sur les eCDL 2.5 est obsolète /etc/certs/CA2008.pem. Il faut le remplacer par CA2010.pem

Quelle méthode ? on remplace le fichier en conservant le nom actuel (pour éviter un reconfigure ?) ou on utilise le nouveau fichier et son nouveau nom ?

#10 Updated by Benjamin Bohard over 5 years ago

Éventuellement, une variante de la seconde solution : on change le nom pour en choisir un plus générique pour éviter les reconfigure à l'avenir (mais peut-être pas le redémarrage du service si le certificat est mis en cache)

#11 Updated by Emmanuel IHRY over 5 years ago

Pour le point 1, il reste une modification à faire (NB : je n'avais pas vu le template intial)

- L'instruction ssl start_tls génère une erreur car le tls est déjà implicitement activé (erreur LDAP en mode debug nslcd)
- l'instruction tls_reqcert never est contradictoire avec le tls_cacertfile %%ldap_ca_cert
- dans un premier temps on ne va pas conditionner la présence du bloc selon ldap_tls 'oui' (bien que ce soit effectivement logique) car tous nos ecdl n'ont pas la valeur OUI... à étudier

Modifications à faire dans le templte nslcd.con

%if %%ldap_tls  'oui' --> à mettre en commentaire
ssl start_tls --> à supprimer
tls_cacertfile %%ldap_ca_cert --> à conserver
tls_reqcert never --> à supprimer
%else --> à mettre en commentaire

#12 Updated by Benjamin Bohard over 5 years ago

  • Status changed from En cours to Résolu

#13 Updated by Benjamin Bohard over 5 years ago

  • % Done changed from 0 to 100
  • Remaining (hours) changed from 2.5 to 0.25

#14 Updated by Emmanuel IHRY over 5 years ago

Fonctionnement correct avec les derniers paquets. La fiche sera fermée parès un nouveau test plus complet

#15 Updated by Emmanuel IHRY over 5 years ago

reste une chose à analyser :

faut il ajouter ce paramètre
nss_initgroups_ignoreusers root

--> Il est présent dans ldap.conf, est-ce utile vaec nslcd.conf ??

#16 Updated by Emmanuel IHRY over 5 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.25 to 0.0

solution fonctionelle avec libnss_ldapd (en dehors du pb de lenteur du boot traité dans le cadre de la demande #13329

Also available in: Atom PDF