Project

General

Profile

Tâche #14876

Distribution EOLE - Scénario #14666: Traitement express (04-06)

erreur d'enregistrement_zephir si les logs distants sont activés

Added by Thierry Bertrand over 4 years ago. Updated over 4 years ago.

Status:
Ne sera pas résolu
Priority:
Normal
Assigned To:
Start date:
02/02/2016
Due date:
% Done:

0%

Estimated time:
5.00 h
Spent time:
Remaining (hours):
0.0

Description

Sur un serveur eSBL, si la fonctionnalité des logs distants est activée, on ne peut pas enregistrer le serveur auprès d'un zephir 2.5.1

--récupération des patchs et dictionnaires (veuillez patienter)--
Traceback (most recent call last):
File "/usr/bin/enregistrement_zephir", line 970, in <module>
main(use_pppoe, force_conf_net)
File "/usr/bin/enregistrement_zephir", line 898, in main
register_log(zephir_proxy, id_serveur, eole_variables, ip_zlog=zephirlog_ip)
File "/usr/lib/python2.6/dist-packages/zephir/lib_zephir.py", line 542, in register_log
res, data = zephir_proxy.prelude.gen_certif(request_data, id_serveur)
File "/usr/lib/python2.6/xmlrpclib.py", line 1199, in call
return self.__send(self.__name, args)
File "/usr/lib/python2.6/dist-packages/zephir/eolerpclib.py", line 99, in _request
verbose=self._verbose
File "/usr/lib/python2.6/xmlrpclib.py", line 1253, in request
return self._parse_response(h.getfile(), sock)
File "/usr/lib/python2.6/dist-packages/zephir/lib_zephir.py", line 85, in _parse_response
return u.close()
File "/usr/lib/python2.6/xmlrpclib.py", line 838, in close
raise Fault(**self._stack0)
xmlrpclib.Fault: <Fault 8002: "Can't serialize output: cannot marshal None unless allow_none is enabled">
root@sbl-975-04:~#

config.eol en pj

zephir_config_4954.eol (40.4 KB) Thierry Bertrand, 02/02/2016 12:27 PM


Related issues

Related to zephir-client - Scénario #14891: Corriger la distribution de certificats rsyslog sur Zéphir 2.5.X Nouveau

History

#1 Updated by Bruno Boiget over 4 years ago

  • Status changed from Nouveau to En cours
  • Assigned To set to Bruno Boiget
  • Estimated time set to 5.00 h
  • Remaining (hours) set to 3.5

Je constate plusieurs problèmes dans ce cas.

  • la procédure 'd'enrôlement rsyslog' sur Zéphir 2.5.X n'est pas fonctionnelle (utilise la librairie et les templates de Creole 2.3, des adaptations sont nécessaires)
  • à l'enregistrement sur un serveur 2.3, si les logs distants sont activés mais pas TLS, la procédure ne retrouve pas l'adresse du serveur de log distant et considère que l'on est en train d'enregistrer un serveur Zéphirlog (au lieu d'un client).

En attendant de voir si le problème peut être corrigé en partie côté Zéphir 2.5 (il restera toujours le problème sur le client si non activation de TLS), une solution pour enregistrer les serveurs est de passer activer_logs_distants à non le temps de l'enregistrement. Dans ce cas la gestion automatique de la CA ne sera pas utilisée.

#2 Updated by Bruno Boiget over 4 years ago

J'arrive à faire passer l'envoi de CA/certficat rsyslog avec quelques corrections et dans certaines conditions :

  • création du répertoire /etc/rsyslog.d/ssl/certs sur Zéphir et sur le client
  • Nécessite que le serveur réceptionnant les logs soit enregistré dans Zéphir auparavant

Attention, dans le cas de serveurs répartis sur plusieurs Zéphir (MEDDE), il faut avoir un serveur de logs spécifique à chaque Zéphir.
Il y a peut être moyen de créer des serveurs de log 'bidon' sur les Zéphir n'en hébergeant pas et copier les certificats pour avoir les mêmes sur tous les Zéphir (mais ça risque de poser problème au niveau de la gestion des n° de série des certificats générés).Quelques problèmes restants :

Problèmes présent sur le client 2.3:
  • Si l'addresse du serveur de réception configuré sur le client ne correspond à aucun serveur connu de Zéphir (test sur adresse ip), il propose une liste de serveurs disponible et met à jour la configuration locale en fonction du choix effectué. Cela ne marche pas à cause d'un dictionnaire ayant changé de nom (1_logs.xml -> 01_logs.xml).
  • Si l'envoi de logs est activé sans envoi par TLS, le client ne sait pas retrouver l'adresse du serveur de logs dans la configuration.

#3 Updated by Thierry Bertrand over 4 years ago

L'activation du rsyslog sur nos modules n'est pas systématique.
Pour nos 2.3, la solution de désactiver cette fonctionnalité le temps de l'enregistrement nous ira.

#4 Updated by Bruno Boiget over 4 years ago

Proposition de scénario ajoutée pour corriger la distribution de certificats sur Zéphir 2.5.X

#5 Updated by Bruno Boiget over 4 years ago

  • Remaining (hours) changed from 3.5 to 0.0

#6 Updated by Scrum Master over 4 years ago

  • Status changed from En cours to Ne sera pas résolu

Also available in: Atom PDF