Tâche #14695
Scénario #14672: Correction de bugs remontés sur EoleSSO
Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)
Description
Si EoleSSO est configuré pour accéder à deux annuaires sur le même nom d'hôte, l'authentification ne fonctionne pas pour tous les annuaires.
Les 'branches LDAP' sont stockées dans un dictionnaires avec pour clé hote:branche (pas le port) :
eolesso/dataproxy.py: branches.append(('%s:%s' % (host, branche), self.search_branches[host][branche]))
Demande d'origine :
Bonjour, Nous avons récemment installé un serveur CAS dans le cadre d'une création d'usine à site. Ce serveur se connecte à 2 serveurs LDAP, l'un se connectant sur l'annuaire académique, l'autre sur l'annuaire de stéléservices (comptes parents/élèves). Nous réussissons sans problèmes à nous connecter au ldap académique (anonymous mode) mais pas au serveur Téléservices. ci joint le message d'erreur sur le CAS : root@drupal-cas:~# tail -f /var/log/rsyslog/local/eolesso/eolesso.info.log ==> /var/log/rsyslog/local/eolesso/eolesso.info.log <== 2016-01-19T15:30:34.018183+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] ! Echec de l'authentification : virginie.godart ! 2016-01-19T15:47:43.514057+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] DNSDatagramProtocol starting on 490 2016-01-19T15:47:43.514371+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7f0683686410> 2016-01-19T15:47:43.542253+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 490 Closed) 2016-01-19T15:47:43.542423+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7f0683686410> 2016-01-19T15:48:13.546913+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] DNSDatagramProtocol starting on 105 2016-01-19T15:48:13.546951+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7f0683b14fd0> 2016-01-19T15:48:13.548054+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 105 Closed) 2016-01-19T15:48:13.548212+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7f0683b14fd0> 2016-01-19T15:48:43.550238+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] ! Echec de l'authentification : virginie.godart En copie, le fichier de configuration config.eol Merci de votre aide, Bien cordialement, Luc Vieux.
Révisions associées
Prise en compte du port dans la définition des serveurs LDAP
- change le mapping des proxy ldap de host:branche à host_port:branche
ref #14695 @2h
Historique
#1 Mis à jour par Bruno Boiget il y a plus de 8 ans
- Statut changé de Nouveau à En attente d'informations
- Assigné à mis à Bruno Boiget
Bonjour,
Je pense qu'il y a un problème de configuration. je ne vois pas de valeurs pour la variable eolesso_ldap_reader_passfile. Avec 2 annuaires, vous devriez avoir 2 fichiers différents pour les mots de passe des utilisateurs en lecture.
Dans votre cas, c'est le mot de passe stocké dans /root/.reader qui sera utilisé à la fois pour "cn=reader,o=gouv,c=fr" du premier annuaire et pour "uid=assistance,o=ac-grenoble,dc=education,dc=fr" du deuxième annuaire.
#2 Mis à jour par Académie Grenoble Ac-Grenoble il y a plus de 8 ans
Bonjour,
Merci pour votre réponse, j'ai modifié les paramètre comme indiqué mais sans changements sur le comportement :
{"eolesso_ldap_reader_passfile": {"owner": "gen_config", "val": ["/root/.reader1", "/root/.reader2"]}, "eolesso_base_ldap": {"owner": "gen_config", "val": ["o=gouv,c=fr", "ou=personnes,o=ac-grenoble,dc=education,dc=fr"]}, "activer_sso": {"owner": "gen_config", "val": "local"}, "proxy_client_adresse": {"owner": "gen_config", "val": "proxyecole.ac-grenoble.fr"}, "nom_machine": {"owner": "gen_config", "val": "drupal-cas"}, "eolesso_ldap": {"owner": "gen_config", "val": ["ldap-adm.ac-grenoble.fr", "ldap-adm.ac-grenoble.fr"]}, "___version___": "2.5.1", "exim_relay_smtp": {"owner": "gen_config", "val": "smtp.ac-grenoble.fr"}, "nom_domaine_local": {"owner": "gen_config", "val": "ac-grenoble.fr"}, "activer_proxy_client": {"owner": "gen_config", "val": "oui"}, "eolesso_ldap_reader": {"owner": "gen_config", "val": ["uid=assistance,o=ac-grenoble,dc=education,dc=fr", "uid=assistance,o=ac-grenoble,dc=education,dc=fr"]}, "federation_transparente": {"owner": "gen_config", "val": "oui"}, "system_mail_to": {"owner": "gen_config", "val": null}, "eolesso_ldap_apps_params": {"owner": "gen_config", "val": "non"}, "ip_admin_eth0": {"owner": "gen_config", "val": ["172.30.114.0"]}, "numero_etab": {"owner": "gen_config", "val": "0380105H"}, "netmask_admin_eth0": {"owner": "gen_config", "val": ["255.255.255.0"]}, "eolesso_port_ldap": {"owner": "gen_config", "val": [389, 421]}, "ip_ssh_eth0": {"owner": "gen_config", "val": ["172.30.114.0"]}, "libelle_etab": {"owner": "gen_config", "val": "Rectorat de l'acad\u00e9mie de Grenoble"}, "eolesso_ldap_fill_displayname": {"owner": "gen_config", "val": ["displayName", "displayName"]}, "netmask_ssh_eth0": {"owner": "gen_config", "val": ["255.255.255.0"]}, "adresse_ip_eth0": {"owner": "gen_config", "val": "195.221.235.203"}, "domaine_messagerie_etab": {"owner": "gen_config", "val": "smtp.ac-grenoble.fr"}, "nom_academie": {"owner": "gen_config", "val": "ac-grenoble"}, "adresse_ip_gw": {"owner": "gen_config", "val": "195.221.235.199"}, "adresse_netmask_eth0": {"owner": "gen_config", "val": "255.255.255.192"}, "adresse_ip_dns": {"owner": "gen_config", "val": ["193.54.149.20", "193.54.149.11"]}}
J'arrive toujours bien à me connecter sur l'annuaire acad mais sans succès sur le TS : (lvieux sur l'acad, virginie.godart sur le TS) :
> /var/log/rsyslog/local/eolesso/eolesso.info.log <2016-01-20T11:00:36.469985+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 49791 Closed)
2016-01-20T11:00:36.470110+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7efced1f1850>
2016-01-20T11:01:06.470897+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] DNSDatagramProtocol starting on 1501
2016-01-20T11:01:06.470929+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7efced1f1850>
2016-01-20T11:01:06.471709+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 1501 Closed)
2016-01-20T11:01:06.471815+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7efced1f1850>
2016-01-20T11:01:36.474150+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] ! Echec de l'authentification : virginie.godart !
2016-01-20T11:03:17.258181+01:00 drupal-cas.ac-grenoble.fr eolesso: [LDAPClient,client] user authentication verified (uid: lvieux, cn: Vieux Luc). Session ID : TGC-195.221.235.203-17c53ab759bb1c281986b89d72c8505a8262811770f32fa300fe185f (1 sessions)
2016-01-20T11:03:17.258573+01:00 drupal-cas.ac-grenoble.fr eolesso: [LDAPClient,client] TGC-195.221.235.203-17c53ab759bb1c281986b89d72c8505a8262811770f32fa300fe185f -- Session autorisée pour le service https://intra-dev-web.ac-grenoble.fr/cas (filtre de données : default)
2016-01-20T11:03:17.258748+01:00 drupal-cas.ac-grenoble.fr eolesso: [LDAPClient,client] Redirection vers l'application appelante avec le ticket : https://intra-dev-web.ac-grenoble.fr/cas
#3 Mis à jour par Académie Grenoble Ac-Grenoble il y a plus de 8 ans
Je rajoute la ligne de debug côté LDAPTS :
[20/Jan/2016:11:13:09 +0100] conn=2799201 op=1 msgId=7 - SRCH base="ou=personnes,o=ac-grenoble,dc=education,dc=fr" scope=2 filter="(|(uid=virginie.godart))" attrs="d n"
#4 Mis à jour par Académie Grenoble Ac-Grenoble il y a plus de 8 ans
Pour comparaison, la ligne de debug LDAP sur l'annuaire ACAD :
[root@petunia sun]# tail -f access | grep lvieux
[20/Jan/2016:11:29:51 +0100] conn=19949901 op=1 msgId=36 - SRCH base="o=gouv,c=fr" scope=2 filter="(|(uid=lvieux))" attrs="d n"
[20/Jan/2016:11:29:51 +0100] conn=19949902 op=0 msgId=38 - BIND dn="uid=lvieux,ou=personnels EN,ou=ac-grenoble,ou=education,o=gouv,c=fr" method=128 version=3
[20/Jan/2016:11:29:51 +0100] conn=19949902 op=0 msgId=38 - RESULT err=0 tag=97 nentries=0 etime=0 dn="uid=lvieux,ou=personnels en,ou=ac-grenoble,ou=education,o=gouv,c=fr"
[20/Jan/2016:11:29:51 +0100] conn=19949902 op=1 msgId=39 - SRCH base="uid=lvieux,ou=personnels en,ou=ac-grenoble,ou=education,o=gouv,c=fr" scope=2 filter="(|(uid=lvieux))" attrs=ALL
[20/Jan/2016:11:29:51 +0100] conn=19949904 op=1 msgId=44 - SRCH base="o=gouv,c=fr" scope=2 filter="(&(objectClass=sambaGroupMapping)(objectClass=posixGroup)(memberUid=lvieux))" attrs=ALL
#5 Mis à jour par Bruno Boiget il y a plus de 8 ans
Pouvez vous vérifier que les commandes suivantes retournent bien les données de l'utilisateur ?
- Si l'authentification se fait par l'intermédiaire d'une fédération ou avec une clé OTP, c'est l'utilisateur 'assistance' qui sera utilisé. Dans ce cas, tester avec :
ldapsearch -x -b "ou=personnes,o=ac-grenoble,dc=education,dc=fr" -h ldap-adm.ac-grenoble.fr -p 421 -D "uid=assistance,o=ac-grenoble,dc=education,dc=fr" -w $(cat /root/.reader2) uid=virginie.godart
Si la fiche de l'utilisateur n'est pas retournée c'est que l'utilisateur "uid=assistance,o=ac-grenoble,dc=education,dc=fr" n'a pas les accès pour la récupérer, ou qu'il y a un problème de configuration (mauvais mot de passe dans le fichier .reader2, utilisateur "assistance" non existant dans l'annuaire TS , ...)
- Si l'authentification est faite directement avec l'utilisateur virginie.godart et un mot de passe classique, c'est un bind sur cet utilisateur qui est effectué.
Dans ce cas, vous pouvez tester avec :
ldapsearch -x -b "ou=personnes,o=ac-grenoble,dc=education,dc=fr" -h ldap-adm.ac-grenoble.fr -p 421 -D "uid=virginie.godart,ou=personnes,o=ac-grenoble,dc=education,dc=fr" -w <mot de passe de virginie.godart> uid=virginie.godart
Si ça ne passe pas, c'est que le mot de passe n'est pas bon (ou qu'il y a un problème d'accès à l'annuaire sur ce port ?)
#6 Mis à jour par Académie Grenoble Ac-Grenoble il y a plus de 8 ans
Merci pour votre réponse,
La première commande fonctionne depuis le serveur CAS :
ldapsearch -x -b "ou=personnes,o=ac-grenoble,dc=education,dc=fr" -h ldap-adm.ac-grenoble.fr -p 421 -D "uid=assistance,o=ac-grenoble,dc=education,dc=fr" -w $(cat /root/.reader2) uid=virginie.godart # extended LDIF # # LDAPv3 # base <ou=personnes,o=ac-grenoble,dc=education,dc=fr> with scope subtree # filter: uid=virginie.godart # requesting: ALL # $FICHE # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1
La seconde ne fonctionne pas :
root@drupal-cas:~# ldapsearch -x -b "ou=personnes,o=ac-grenoble,dc=education,dc=fr" -h ldap-adm.ac-grenoble.fr -p 421 -D "uid=virginie.godart,ou=personnes,o=ac-grenoble,dc=education,dc=fr" -w $MDP uid=virginie.godart# extended LDIF # # LDAPv3 # base <ou=personnes,o=ac-grenoble,dc=education,dc=fr> with scope subtree # filter: uid=virginie.godart # requesting: ALL # # search result search: 2 result: 0 Success # numResponses: 1
Le compte testé ici fait partie de l'annuaire TS que le CAS intérroge pour accéder aux applis. Est-ce que ces résultats vous parlent ?
Cdt,
LV
#7 Mis à jour par Académie Grenoble Ac-Grenoble il y a plus de 8 ans
Je crois comprendre l'idée, l'utilisateur n'a pas le droit de demander son uid et c'est ce que les logs montrent :
[root@alpinia sunTS]# tail -f access | grep virginie.godart
[20/Jan/2016:14:41:01 +0100] conn=2805463 op=0 msgId=1 - BIND dn="uid=virginie.godart,ou=personnes,o=ac-grenoble,dc=education,dc=fr" method=128 version=3
[20/Jan/2016:14:41:01 +0100] conn=2805463 op=0 msgId=1 - RESULT err=0 tag=97 nentries=0 etime=0 dn="uid=virginie.godart,ou=personnes,o=ac-grenoble,dc=education,dc=fr"
[20/Jan/2016:14:41:01 +0100] conn=2805463 op=1 msgId=2 - SRCH base="ou=personnes,o=ac-grenoble,dc=education,dc=fr" scope=2 filter="(uid=virginie.godart)" attrs=ALL
Il va falloir modifier les paramètres de self request. Qu'en pensez-vous ?
#8 Mis à jour par Bruno Boiget il y a plus de 8 ans
J'allais justement vous répondre dans ce sens
Je ne vois pas trop d'autre solution que modifier les acls, à moins que la correspondance avec le login puisse se faire sur un autre attribut qui serait accessible (je ne connais pas l'architecture de l'annuaire TS, tout dépend de la façon dont il est provisionné). Dans ce cas, il est possible de spécifier l'attribut de recherche à utiliser pour chaque annuaire dans gen_config.
#9 Mis à jour par Bruno Boiget il y a plus de 8 ans
La demande ayant servi de fil de discussion, je ne la ferme pas dans l'immédiat.
Pouvez vous nous confirmer que le problème est résolu afin de terminer son traitement ?
#10 Mis à jour par Académie Grenoble Ac-Grenoble il y a plus de 8 ans
Bonjour,
J'attends le retour du pôle d'Orleans pour le debug sur le LDAP et je vous confirme que l'erreur vient de là. Merci de votre aide.
#11 Mis à jour par Académie Grenoble Ac-Grenoble il y a environ 8 ans
Bonjour,
Suite aux modifications que nous avons éffectuées avec le pôle Identité, l'utilisateur peut maintenant s'auto-interroger en terme de LDAP sur son attribut UID. Lorsque l'on paramètre le 2ème serveur sur le port 421, le problème est résolu et la connexion se fait sans soucis.
Seul hic, lorsque que c'est l'IP de la VIP qui est configué dans le CAS, la connexion ne se fait pas...
Je ne pense pas que ce soit lié au CAS mais je vous en parle à tout hasard ?
Bien cordialement,
LV.
#12 Mis à jour par Académie Grenoble Ac-Grenoble il y a environ 8 ans
Les logs qui apparaissent lorsque l'on mzet la VIP sur le port 421 :
2016-01-25T11:42:07.857231+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] /etc/resolv.conf changed, reparsing
2016-01-25T11:42:07.857580+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Resolver added ('193.54.149.20', 53) to server list
2016-01-25T11:42:07.857732+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Resolver added ('193.54.149.11', 53) to server list
2016-01-25T11:42:07.858851+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] DNSDatagramProtocol starting on 16010
2016-01-25T11:42:07.859025+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910364d0>
2016-01-25T11:42:07.886307+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 16010 Closed)
2016-01-25T11:42:07.886472+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910364d0>
2016-01-25T11:42:37.897286+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] DNSDatagramProtocol starting on 818
2016-01-25T11:42:37.897330+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910388d0>
2016-01-25T11:42:37.898286+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 818 Closed)
2016-01-25T11:42:37.898454+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910388d0>
2016-01-25T11:43:07.900672+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] ! Echec de l'authentification : virginie.godart !
#13 Mis à jour par Académie Grenoble Ac-Grenoble il y a environ 8 ans
En fait, ce qui est très étonnant c'est l'adresse 172.30.112.68 qui train dans le log. En effet, avant, les machiens étaient sur ce réseau mais ce n'est plus d'actualité et les paramètres de conf ne montre pas d'artéfacts de conf. C'est l'adresse d'un proxy du réseau 112...
#14 Mis à jour par Académie Grenoble Ac-Grenoble il y a environ 8 ans
En fait le problème ne vient pas de là non plus. Voilà un descriptif complet et plus clair.
Il y a 2 ldap configuré, un TS et un ACAD, les deux sont sur le même serveur (ldap-adm) mais pas sur le même port (389 et 421).
Dans les paramètres du gen_config on a :
serveur 1 : ldap-adm.ac-grenoble.fr port 389 > connexion acceptée depuis le CAS, fonctionel.
serveur 2 CONFIGURE AVEC LE NOM DNS : ldap-adm.ac-grenoble.fr port 421 > connexion non acceptée depuis le CAS, non fonctionel.
2016-01-25T11:42:07.857231+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] /etc/resolv.conf changed, reparsing
2016-01-25T11:42:07.857580+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Resolver added ('193.54.149.20', 53) to server list
2016-01-25T11:42:07.857732+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Resolver added ('193.54.149.11', 53) to server list
2016-01-25T11:42:07.858851+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] DNSDatagramProtocol starting on 16010
2016-01-25T11:42:07.859025+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910364d0>
2016-01-25T11:42:07.886307+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 16010 Closed)
2016-01-25T11:42:07.886472+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910364d0>
2016-01-25T11:42:37.897286+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] DNSDatagramProtocol starting on 818
2016-01-25T11:42:37.897330+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910388d0>
2016-01-25T11:42:37.898286+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 818 Closed)
2016-01-25T11:42:37.898454+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910388d0>
2016-01-25T11:43:07.900672+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] ! Echec de l'authentification : virginie.godart !
Si on configure le serveur 2 avec l'adresse IP alors les connexion vers le serveur TS fonctionne...N'y aurait-il pas un bug quelque part ? Il me semble que nos conf DNS sont ok.
#15 Mis à jour par Académie Grenoble Ac-Grenoble il y a environ 8 ans
Je crois que j'ai trouvé le problème :
Le CAS ne supporte pas d'avoir le même paramètre (port différent) pour les 2 LDAP. Si on met les 2 adresses IP du ldap ça ne marche pas, si on met les 2 noms dns ça ne marche pas, si on mets l'adresse IP pour l'un, le nom DSN pour l'autre ça fonctionne. Pouvez-vous voir ça côté eole ?
Cdt,
LV
#16 Mis à jour par Bruno Boiget il y a environ 8 ans
- Tracker changé de Demande à Tâche
- Projet changé de Distribution EOLE à EoleSSO
- Sujet changé de Connexion d'un serveur CAS à Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)
- Version cible mis à sprint 2016 04-06 - Equipe MENESR
- Temps estimé mis à 2.00 h
- Tâche parente mis à #14672
- Restant à faire (heures) mis à 2.0
Je vois des parties du code ou les différentes branches de recherche LDAP sont référencées par le nom d'hote seulement (pas le port). Cela doit effectivement poser problème dans votre cas.
Je modifie la demande pour refléter le problème. La correction sera effectuée à minima sur la version 2.5.2. (à voir pour un backport 2.4.2/2.5.1, je ne sais pas sur quelle version vous avez rencontré le problème).
En attendant, la solution de configurer une ip et un nom dns (ou avoir deux noms dns résolvant sur cette adresse) me semble valide pour contourner le problème.
#17 Mis à jour par Bruno Boiget il y a environ 8 ans
- Statut changé de En attente d'informations à Nouveau
#18 Mis à jour par Bruno Boiget il y a environ 8 ans
- Description mis à jour (diff)
#19 Mis à jour par Bruno Boiget il y a environ 8 ans
- % réalisé changé de 0 à 90
paquet à 2.5/unstable à compiler
#20 Mis à jour par Bruno Boiget il y a environ 8 ans
- Restant à faire (heures) changé de 2.0 à 0.3
#21 Mis à jour par Scrum Master il y a environ 8 ans
- Statut changé de Nouveau à En cours
#22 Mis à jour par Scrum Master il y a environ 8 ans
- Statut changé de En cours à Résolu
#23 Mis à jour par Bruno Boiget il y a environ 8 ans
- % réalisé changé de 90 à 100
#24 Mis à jour par Bruno Boiget il y a environ 8 ans
ERRATA¶
Le problème est présent depuis la version 2.3.
Il est corrigé à partir de la version 2.5.2.
Pour contourner le problème dans les autres versions, configurer avec des noms d'hôtes différents pour chaque annuaire (nom dns / ip ou plusieurs noms dns pointant sur l'adresse)
#25 Mis à jour par Lionel Morin il y a environ 8 ans
- Fichier 4zones.xml Voir ajouté
- déploiement un etb1 amon + scribe + horus
- par l'EAD, créer un utilisateur spécifique sur horus (non présent sur scribe) et un autre spécifique sur scribe (non présent sur horus)
- déclaration dans gen_config du scribe, onglet EOLE SSO, modification de Adresse du serveur LDAP utilisé par EoleSSO en 10.1.3.1 et du Port du serveur LDAP utilisé par EoleSSO en 1337
- puis ajout d'une autre Adresse du serveur LDAP utilisé par EoleSSO avec 10.1.3.1 et cette fois un Port du serveur LDAP utilisé par EoleSSO en 1338
- enregistrement / reconfigure du scribe
- sur l'amon faire des règles de DNAT pour rediriger ces ports vers les annuaires de scribe et d'horus (port 389) => fichier de règles ERA : 4zones.xml
- redémarrer bastion
- se connecter sur https://etb1.ac-test.fr et tester les 2 utilisateurs créés, la connexion SSO doit fonctionner
#26 Mis à jour par Lionel Morin il y a environ 8 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.3 à 0.0