https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2016-01-20T09:49:09ZEnsemble Ouvert Libre ÉvolutifEoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=625322016-01-20T09:49:09ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>En attente d'informations</i></li><li><strong>Assigné à</strong> mis à <i>Bruno Boiget</i></li></ul><p>Bonjour,</p>
<p>Je pense qu'il y a un problème de configuration. je ne vois pas de valeurs pour la variable eolesso_ldap_reader_passfile. Avec 2 annuaires, vous devriez avoir 2 fichiers différents pour les mots de passe des utilisateurs en lecture.</p>
<p>Dans votre cas, c'est le mot de passe stocké dans /root/.reader qui sera utilisé à la fois pour "cn=reader,o=gouv,c=fr" du premier annuaire et pour "uid=assistance,o=ac-grenoble,dc=education,dc=fr" du deuxième annuaire.</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=625402016-01-20T10:28:58ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>Bonjour,</p>
<p>Merci pour votre réponse, j'ai modifié les paramètre comme indiqué mais sans changements sur le comportement :</p>
<p>{"eolesso_ldap_reader_passfile": {"owner": "gen_config", "val": ["/root/.reader1", "/root/.reader2"]}, "eolesso_base_ldap": {"owner": "gen_config", "val": ["o=gouv,c=fr", "ou=personnes,o=ac-grenoble,dc=education,dc=fr"]}, "activer_sso": {"owner": "gen_config", "val": "local"}, "proxy_client_adresse": {"owner": "gen_config", "val": "proxyecole.ac-grenoble.fr"}, "nom_machine": {"owner": "gen_config", "val": "drupal-cas"}, "eolesso_ldap": {"owner": "gen_config", "val": ["ldap-adm.ac-grenoble.fr", "ldap-adm.ac-grenoble.fr"]}, "___version___": "2.5.1", "exim_relay_smtp": {"owner": "gen_config", "val": "smtp.ac-grenoble.fr"}, "nom_domaine_local": {"owner": "gen_config", "val": "ac-grenoble.fr"}, "activer_proxy_client": {"owner": "gen_config", "val": "oui"}, "eolesso_ldap_reader": {"owner": "gen_config", "val": ["uid=assistance,o=ac-grenoble,dc=education,dc=fr", "uid=assistance,o=ac-grenoble,dc=education,dc=fr"]}, "federation_transparente": {"owner": "gen_config", "val": "oui"}, "system_mail_to": {"owner": "gen_config", "val": null}, "eolesso_ldap_apps_params": {"owner": "gen_config", "val": "non"}, "ip_admin_eth0": {"owner": "gen_config", "val": ["172.30.114.0"]}, "numero_etab": {"owner": "gen_config", "val": "0380105H"}, "netmask_admin_eth0": {"owner": "gen_config", "val": ["255.255.255.0"]}, "eolesso_port_ldap": {"owner": "gen_config", "val": [389, 421]}, "ip_ssh_eth0": {"owner": "gen_config", "val": ["172.30.114.0"]}, "libelle_etab": {"owner": "gen_config", "val": "Rectorat de l'acad\u00e9mie de Grenoble"}, "eolesso_ldap_fill_displayname": {"owner": "gen_config", "val": ["displayName", "displayName"]}, "netmask_ssh_eth0": {"owner": "gen_config", "val": ["255.255.255.0"]}, "adresse_ip_eth0": {"owner": "gen_config", "val": "195.221.235.203"}, "domaine_messagerie_etab": {"owner": "gen_config", "val": "smtp.ac-grenoble.fr"}, "nom_academie": {"owner": "gen_config", "val": "ac-grenoble"}, "adresse_ip_gw": {"owner": "gen_config", "val": "195.221.235.199"}, "adresse_netmask_eth0": {"owner": "gen_config", "val": "255.255.255.192"}, "adresse_ip_dns": {"owner": "gen_config", "val": ["193.54.149.20", "193.54.149.11"]}}</p>
<p>J'arrive toujours bien à me connecter sur l'annuaire acad mais sans succès sur le TS : (lvieux sur l'acad, virginie.godart sur le TS) :</p>
> /var/log/rsyslog/local/eolesso/eolesso.info.log <<br />2016-01-20T11:00:36.469985+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 49791 Closed)<br />2016-01-20T11:00:36.470110+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7efced1f1850><br />2016-01-20T11:01:06.470897+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] DNSDatagramProtocol starting on 1501<br />2016-01-20T11:01:06.470929+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7efced1f1850><br />2016-01-20T11:01:06.471709+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 1501 Closed)<br />2016-01-20T11:01:06.471815+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7efced1f1850><br />2016-01-20T11:01:36.474150+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] ! Echec de l'authentification : virginie.godart !<br />2016-01-20T11:03:17.258181+01:00 drupal-cas.ac-grenoble.fr eolesso: [LDAPClient,client] user authentication verified (uid: lvieux, cn: Vieux Luc). Session ID : TGC-195.221.235.203-17c53ab759bb1c281986b89d72c8505a8262811770f32fa300fe185f (1 sessions)<br />2016-01-20T11:03:17.258573+01:00 drupal-cas.ac-grenoble.fr eolesso: [LDAPClient,client] TGC-195.221.235.203-17c53ab759bb1c281986b89d72c8505a8262811770f32fa300fe185f -- Session autorisée pour le service <a class="external" href="https://intra-dev-web.ac-grenoble.fr/cas">https://intra-dev-web.ac-grenoble.fr/cas</a> (filtre de données : default)<br />2016-01-20T11:03:17.258748+01:00 drupal-cas.ac-grenoble.fr eolesso: [LDAPClient,client] Redirection vers l'application appelante avec le ticket : <a class="external" href="https://intra-dev-web.ac-grenoble.fr/cas">https://intra-dev-web.ac-grenoble.fr/cas</a> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=625442016-01-20T10:39:45ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>Je rajoute la ligne de debug côté LDAPTS :</p>
<p>[20/Jan/2016:11:13:09 +0100] conn=2799201 op=1 msgId=7 - SRCH base="ou=personnes,o=ac-grenoble,dc=education,dc=fr" scope=2 filter="(|(uid=virginie.godart))" attrs="d n"</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=625482016-01-20T10:53:07ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>Pour comparaison, la ligne de debug LDAP sur l'annuaire ACAD :</p>
<p>[root@petunia sun]# tail -f access | grep lvieux<br />[20/Jan/2016:11:29:51 +0100] conn=19949901 op=1 msgId=36 - SRCH base="o=gouv,c=fr" scope=2 filter="(|(uid=lvieux))" attrs="d n" <br />[20/Jan/2016:11:29:51 +0100] conn=19949902 op=0 msgId=38 - BIND dn="uid=lvieux,ou=personnels EN,ou=ac-grenoble,ou=education,o=gouv,c=fr" method=128 version=3<br />[20/Jan/2016:11:29:51 +0100] conn=19949902 op=0 msgId=38 - RESULT err=0 tag=97 nentries=0 etime=0 dn="uid=lvieux,ou=personnels en,ou=ac-grenoble,ou=education,o=gouv,c=fr" <br />[20/Jan/2016:11:29:51 +0100] conn=19949902 op=1 msgId=39 - SRCH base="uid=lvieux,ou=personnels en,ou=ac-grenoble,ou=education,o=gouv,c=fr" scope=2 filter="(|(uid=lvieux))" attrs=ALL<br />[20/Jan/2016:11:29:51 +0100] conn=19949904 op=1 msgId=44 - SRCH base="o=gouv,c=fr" scope=2 filter="(&(objectClass=sambaGroupMapping)(objectClass=posixGroup)(memberUid=lvieux))" attrs=ALL</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=625732016-01-20T11:52:10ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul></ul><p>Pouvez vous vérifier que les commandes suivantes retournent bien les données de l'utilisateur ?</p>
<ul>
<li>Si l'authentification se fait par l'intermédiaire d'une fédération ou avec une clé OTP, c'est l'utilisateur 'assistance' qui sera utilisé. Dans ce cas, tester avec :</li>
</ul>
<pre>
ldapsearch -x -b "ou=personnes,o=ac-grenoble,dc=education,dc=fr" -h ldap-adm.ac-grenoble.fr -p 421 -D "uid=assistance,o=ac-grenoble,dc=education,dc=fr" -w $(cat /root/.reader2) uid=virginie.godart
</pre>
<p>Si la fiche de l'utilisateur n'est pas retournée c'est que l'utilisateur "uid=assistance,o=ac-grenoble,dc=education,dc=fr" n'a pas les accès pour la récupérer, ou qu'il y a un problème de configuration (mauvais mot de passe dans le fichier .reader2, utilisateur "assistance" non existant dans l'annuaire TS , ...)</p>
<ul>
<li>Si l'authentification est faite directement avec l'utilisateur virginie.godart et un mot de passe classique, c'est un bind sur cet utilisateur qui est effectué.</li>
</ul>
<p>Dans ce cas, vous pouvez tester avec :</p>
<pre>
ldapsearch -x -b "ou=personnes,o=ac-grenoble,dc=education,dc=fr" -h ldap-adm.ac-grenoble.fr -p 421 -D "uid=virginie.godart,ou=personnes,o=ac-grenoble,dc=education,dc=fr" -w <mot de passe de virginie.godart> uid=virginie.godart
</pre>
<p>Si ça ne passe pas, c'est que le mot de passe n'est pas bon (ou qu'il y a un problème d'accès à l'annuaire sur ce port ?)</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=625802016-01-20T13:45:50ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>Merci pour votre réponse,</p>
<p>La première commande fonctionne depuis le serveur CAS :</p>
<pre>
ldapsearch -x -b "ou=personnes,o=ac-grenoble,dc=education,dc=fr" -h ldap-adm.ac-grenoble.fr -p 421 -D "uid=assistance,o=ac-grenoble,dc=education,dc=fr" -w $(cat /root/.reader2) uid=virginie.godart
# extended LDIF
#
# LDAPv3
# base <ou=personnes,o=ac-grenoble,dc=education,dc=fr> with scope subtree
# filter: uid=virginie.godart
# requesting: ALL
#
$FICHE
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
</pre>
<p>La seconde ne fonctionne pas :</p>
<pre>
root@drupal-cas:~# ldapsearch -x -b "ou=personnes,o=ac-grenoble,dc=education,dc=fr" -h ldap-adm.ac-grenoble.fr -p 421 -D "uid=virginie.godart,ou=personnes,o=ac-grenoble,dc=education,dc=fr" -w $MDP uid=virginie.godart# extended LDIF
#
# LDAPv3
# base <ou=personnes,o=ac-grenoble,dc=education,dc=fr> with scope subtree
# filter: uid=virginie.godart
# requesting: ALL
#
# search result
search: 2
result: 0 Success
# numResponses: 1
</pre>
<p>Le compte testé ici fait partie de l'annuaire TS que le CAS intérroge pour accéder aux applis. Est-ce que ces résultats vous parlent ?</p>
<p>Cdt,</p>
<p>LV</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=625822016-01-20T14:17:58ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>Je crois comprendre l'idée, l'utilisateur n'a pas le droit de demander son uid et c'est ce que les logs montrent :</p>
<p>[root@alpinia sunTS]# tail -f access | grep virginie.godart<br />[20/Jan/2016:14:41:01 +0100] conn=2805463 op=0 msgId=1 - BIND dn="uid=virginie.godart,ou=personnes,o=ac-grenoble,dc=education,dc=fr" method=128 version=3<br />[20/Jan/2016:14:41:01 +0100] conn=2805463 op=0 msgId=1 - RESULT err=0 tag=97 nentries=0 etime=0 dn="uid=virginie.godart,ou=personnes,o=ac-grenoble,dc=education,dc=fr" <br />[20/Jan/2016:14:41:01 +0100] conn=2805463 op=1 msgId=2 - SRCH base="ou=personnes,o=ac-grenoble,dc=education,dc=fr" scope=2 filter="(uid=virginie.godart)" attrs=ALL</p>
<p>Il va falloir modifier les paramètres de self request. Qu'en pensez-vous ?</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=625982016-01-20T15:23:25ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul></ul><p>J'allais justement vous répondre dans ce sens</p>
<p>Je ne vois pas trop d'autre solution que modifier les acls, à moins que la correspondance avec le login puisse se faire sur un autre attribut qui serait accessible (je ne connais pas l'architecture de l'annuaire TS, tout dépend de la façon dont il est provisionné). Dans ce cas, il est possible de spécifier l'attribut de recherche à utiliser pour chaque annuaire dans gen_config.</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=627642016-01-21T15:59:37ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul></ul><p>La demande ayant servi de fil de discussion, je ne la ferme pas dans l'immédiat.</p>
<p>Pouvez vous nous confirmer que le problème est résolu afin de terminer son traitement ?</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=628142016-01-22T10:24:40ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>Bonjour,</p>
<p>J'attends le retour du pôle d'Orleans pour le debug sur le LDAP et je vous confirme que l'erreur vient de là. Merci de votre aide.</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=630782016-01-25T09:36:41ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>Bonjour,</p>
<p>Suite aux modifications que nous avons éffectuées avec le pôle Identité, l'utilisateur peut maintenant s'auto-interroger en terme de LDAP sur son attribut UID. Lorsque l'on paramètre le 2ème serveur sur le port 421, le problème est résolu et la connexion se fait sans soucis.</p>
<p>Seul hic, lorsque que c'est l'IP de la VIP qui est configué dans le CAS, la connexion ne se fait pas...</p>
<p>Je ne pense pas que ce soit lié au CAS mais je vous en parle à tout hasard ?</p>
<p>Bien cordialement,</p>
<p>LV.</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=631072016-01-25T11:05:37ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>Les logs qui apparaissent lorsque l'on mzet la VIP sur le port 421 :</p>
<p>2016-01-25T11:42:07.857231+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] /etc/resolv.conf changed, reparsing<br />2016-01-25T11:42:07.857580+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Resolver added ('193.54.149.20', 53) to server list<br />2016-01-25T11:42:07.857732+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Resolver added ('193.54.149.11', 53) to server list<br />2016-01-25T11:42:07.858851+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] DNSDatagramProtocol starting on 16010<br />2016-01-25T11:42:07.859025+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910364d0><br />2016-01-25T11:42:07.886307+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 16010 Closed)<br />2016-01-25T11:42:07.886472+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910364d0><br />2016-01-25T11:42:37.897286+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] DNSDatagramProtocol starting on 818<br />2016-01-25T11:42:37.897330+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910388d0><br />2016-01-25T11:42:37.898286+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 818 Closed)<br />2016-01-25T11:42:37.898454+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910388d0><br />2016-01-25T11:43:07.900672+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] ! Echec de l'authentification : virginie.godart !</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=631222016-01-25T12:35:51ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>En fait, ce qui est très étonnant c'est l'adresse 172.30.112.68 qui train dans le log. En effet, avant, les machiens étaient sur ce réseau mais ce n'est plus d'actualité et les paramètres de conf ne montre pas d'artéfacts de conf. C'est l'adresse d'un proxy du réseau 112...</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=631382016-01-25T14:14:13ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>En fait le problème ne vient pas de là non plus. Voilà un descriptif complet et plus clair.</p>
<p>Il y a 2 ldap configuré, un TS et un ACAD, les deux sont sur le même serveur (ldap-adm) mais pas sur le même port (389 et 421).</p>
<p>Dans les paramètres du gen_config on a :</p>
<p>serveur 1 : ldap-adm.ac-grenoble.fr port 389 > connexion acceptée depuis le CAS, fonctionel.<br />serveur 2 CONFIGURE AVEC LE NOM DNS : ldap-adm.ac-grenoble.fr port 421 > connexion non acceptée depuis le CAS, non fonctionel.</p>
<p>2016-01-25T11:42:07.857231+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] /etc/resolv.conf changed, reparsing<br />2016-01-25T11:42:07.857580+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Resolver added ('193.54.149.20', 53) to server list<br />2016-01-25T11:42:07.857732+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Resolver added ('193.54.149.11', 53) to server list<br />2016-01-25T11:42:07.858851+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] DNSDatagramProtocol starting on 16010<br />2016-01-25T11:42:07.859025+01:00 drupal-cas.ac-grenoble.fr eolesso: [HTTPChannel (TLSProtocolWrapper),7,172.30.112.68] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910364d0><br />2016-01-25T11:42:07.886307+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 16010 Closed)<br />2016-01-25T11:42:07.886472+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910364d0><br />2016-01-25T11:42:37.897286+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] DNSDatagramProtocol starting on 818<br />2016-01-25T11:42:37.897330+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Starting protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910388d0><br />2016-01-25T11:42:37.898286+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] (UDP Port 818 Closed)<br />2016-01-25T11:42:37.898454+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] Stopping protocol <twisted.names.dns.DNSDatagramProtocol object at 0x7fa9910388d0><br />2016-01-25T11:43:07.900672+01:00 drupal-cas.ac-grenoble.fr eolesso: [-] ! Echec de l'authentification : virginie.godart !</p>
<p>Si on configure le serveur 2 avec l'adresse IP alors les connexion vers le serveur TS fonctionne...N'y aurait-il pas un bug quelque part ? Il me semble que nos conf DNS sont ok.</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=631502016-01-25T14:47:21ZAcadémie Grenoble Ac-Grenobleuto-pia-dev@ac-grenoble.fr
<ul></ul><p>Je crois que j'ai trouvé le problème :</p>
<p>Le CAS ne supporte pas d'avoir le même paramètre (port différent) pour les 2 LDAP. Si on met les 2 adresses IP du ldap ça ne marche pas, si on met les 2 noms dns ça ne marche pas, si on mets l'adresse IP pour l'un, le nom DSN pour l'autre ça fonctionne. Pouvez-vous voir ça côté eole ?</p>
<p>Cdt,</p>
<p>LV</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=632442016-01-26T10:53:17ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul><li><strong>Tracker</strong> changé de <i>Demande</i> à <i>Tâche</i></li><li><strong>Projet</strong> changé de <i>Distribution EOLE</i> à <i>EoleSSO</i></li><li><strong>Sujet</strong> changé de <i>Connexion d'un serveur CAS</i> à <i>Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)</i></li><li><strong>Version cible</strong> mis à <i>sprint 2016 04-06 - Equipe MENESR</i></li><li><strong>Temps estimé</strong> mis à <i>2.00 h</i></li><li><strong>Tâche parente</strong> mis à <i>#14672</i></li><li><strong>Restant à faire (heures)</strong> mis à <i>2.0</i></li></ul><p>Je vois des parties du code ou les différentes branches de recherche LDAP sont référencées par le nom d'hote seulement (pas le port). Cela doit effectivement poser problème dans votre cas.</p>
<p>Je modifie la demande pour refléter le problème. La correction sera effectuée à minima sur la version 2.5.2. (à voir pour un backport 2.4.2/2.5.1, je ne sais pas sur quelle version vous avez rencontré le problème).</p>
<p>En attendant, la solution de configurer une ip et un nom dns (ou avoir deux noms dns résolvant sur cette adresse) me semble valide pour contourner le problème.</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=632452016-01-26T10:54:07ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul><li><strong>Statut</strong> changé de <i>En attente d'informations</i> à <i>Nouveau</i></li></ul> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=632562016-01-26T11:01:54ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul><li><strong>Description</strong> mis à jour (<a title="Voir les différences" href="/journals/63256/diff?detail_id=88105">diff</a>)</li></ul> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=632922016-01-26T15:58:14ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul><li><strong>% réalisé</strong> changé de <i>0</i> à <i>90</i></li></ul><p>paquet à 2.5/unstable à compiler</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=632932016-01-26T15:58:26ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul><li><strong>Restant à faire (heures)</strong> changé de <i>2.0</i> à <i>0.3</i></li></ul> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=633292016-01-27T09:02:51ZScrum Master
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>En cours</i></li></ul> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=634222016-01-28T09:04:58ZScrum Master
<ul><li><strong>Statut</strong> changé de <i>En cours</i> à <i>Résolu</i></li></ul> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=634952016-01-28T16:47:49ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul><li><strong>% réalisé</strong> changé de <i>90</i> à <i>100</i></li></ul> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=637432016-02-02T10:39:28ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul></ul><a name="ERRATA"></a>
<h3 >ERRATA<a href="#ERRATA" class="wiki-anchor">¶</a></h3>
<p>Le problème est présent depuis la version 2.3.</p>
<p>Il est corrigé à partir de la version 2.5.2.</p>
<p>Pour contourner le problème dans les autres versions, configurer avec des noms d'hôtes différents pour chaque annuaire (nom dns / ip ou plusieurs noms dns pointant sur l'adresse)</p> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=646182016-02-11T15:32:21ZLionel MorinLionel.Morin@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Fichier</strong> <a href="/attachments/download/1554/4zones.xml">4zones.xml</a> <a class="icon-only icon-magnifier" title="Voir" href="/attachments/1554/4zones.xml">Voir</a> ajouté</li></ul>Test réalisé :
<ul>
<li>déploiement un <strong>etb1</strong> amon + scribe + horus</li>
<li>par l'EAD, créer un utilisateur spécifique sur horus (non présent sur scribe) et un autre spécifique sur scribe (non présent sur horus)</li>
<li>déclaration dans gen_config du scribe, onglet <strong>EOLE SSO</strong>, modification de <strong>Adresse du serveur LDAP utilisé par EoleSSO</strong> en 10.1.3.1 et du <strong>Port du serveur LDAP utilisé par EoleSSO</strong> en 1337</li>
<li>puis ajout d'une autre <strong>Adresse du serveur LDAP utilisé par EoleSSO</strong> avec 10.1.3.1 et cette fois un <strong>Port du serveur LDAP utilisé par EoleSSO</strong> en 1338</li>
<li>enregistrement / reconfigure du scribe</li>
<li>sur l'amon faire des règles de DNAT pour rediriger ces ports vers les annuaires de scribe et d'horus (port 389) => fichier de règles ERA : <a class="attachment" href="https://dev-eole.ac-dijon.fr/attachments/download/1554/4zones.xml">4zones.xml</a></li>
<li>redémarrer bastion</li>
<li>se connecter sur <a class="external" href="https://etb1.ac-test.fr">https://etb1.ac-test.fr</a> et tester les 2 utilisateurs créés, la connexion SSO doit fonctionner</li>
</ul> EoleSSO - Tâche #14695: Correction du cas où plusieurs annuaires ont le même nom d'hôte (ports différents)https://dev-eole.ac-dijon.fr/issues/14695?journal_id=646192016-02-11T15:41:00ZLionel MorinLionel.Morin@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Statut</strong> changé de <i>Résolu</i> à <i>Fermé</i></li><li><strong>Restant à faire (heures)</strong> changé de <i>0.3</i> à <i>0.0</i></li></ul>