Projet

Général

Profil

Tâche #14876

Distribution EOLE - Scénario #14666: Traitement express (04-06)

erreur d'enregistrement_zephir si les logs distants sont activés

Ajouté par Thierry Bertrand il y a environ 8 ans. Mis à jour il y a environ 8 ans.

Statut:
Ne sera pas résolu
Priorité:
Normal
Assigné à:
Bruno Boiget
Version cible:
Distribution EOLE - sprint 2016 04-06 - Equipe MENESR
Début:
02/02/2016
Echéance:
% réalisé:

0%

Temps estimé:
5.00 h
Temps passé:
4.50 h
Restant à faire (heures):
0.0

Description

Sur un serveur eSBL, si la fonctionnalité des logs distants est activée, on ne peut pas enregistrer le serveur auprès d'un zephir 2.5.1

--récupération des patchs et dictionnaires (veuillez patienter)--
Traceback (most recent call last):
File "/usr/bin/enregistrement_zephir", line 970, in <module>
main(use_pppoe, force_conf_net)
File "/usr/bin/enregistrement_zephir", line 898, in main
register_log(zephir_proxy, id_serveur, eole_variables, ip_zlog=zephirlog_ip)
File "/usr/lib/python2.6/dist-packages/zephir/lib_zephir.py", line 542, in register_log
res, data = zephir_proxy.prelude.gen_certif(request_data, id_serveur)
File "/usr/lib/python2.6/xmlrpclib.py", line 1199, in call
return self.__send(self.__name, args)
File "/usr/lib/python2.6/dist-packages/zephir/eolerpclib.py", line 99, in _request
verbose=self._verbose
File "/usr/lib/python2.6/xmlrpclib.py", line 1253, in request
return self._parse_response(h.getfile(), sock)
File "/usr/lib/python2.6/dist-packages/zephir/lib_zephir.py", line 85, in _parse_response
return u.close()
File "/usr/lib/python2.6/xmlrpclib.py", line 838, in close
raise Fault(**self._stack0)
xmlrpclib.Fault: <Fault 8002: "Can't serialize output: cannot marshal None unless allow_none is enabled">
root@sbl-975-04:~#

config.eol en pj

zephir_config_4954.eol (40,4 ko) Thierry Bertrand, 02/02/2016 12:27

Demandes liées

Lié à zephir-client - Proposition Scénario #14891: Corriger la distribution de certificats rsyslog sur Zéphir 2.5.X Classée sans suite

Historique

#1 Mis à jour par Bruno Boiget il y a environ 8 ans

  • Statut changé de Nouveau à En cours
  • Assigné à mis à Bruno Boiget
  • Temps estimé mis à 5.00 h
  • Restant à faire (heures) mis à 3.5

Je constate plusieurs problèmes dans ce cas.

  • la procédure 'd'enrôlement rsyslog' sur Zéphir 2.5.X n'est pas fonctionnelle (utilise la librairie et les templates de Creole 2.3, des adaptations sont nécessaires)
  • à l'enregistrement sur un serveur 2.3, si les logs distants sont activés mais pas TLS, la procédure ne retrouve pas l'adresse du serveur de log distant et considère que l'on est en train d'enregistrer un serveur Zéphirlog (au lieu d'un client).

En attendant de voir si le problème peut être corrigé en partie côté Zéphir 2.5 (il restera toujours le problème sur le client si non activation de TLS), une solution pour enregistrer les serveurs est de passer activer_logs_distants à non le temps de l'enregistrement. Dans ce cas la gestion automatique de la CA ne sera pas utilisée.

#2 Mis à jour par Bruno Boiget il y a environ 8 ans

J'arrive à faire passer l'envoi de CA/certficat rsyslog avec quelques corrections et dans certaines conditions :

  • création du répertoire /etc/rsyslog.d/ssl/certs sur Zéphir et sur le client
  • Nécessite que le serveur réceptionnant les logs soit enregistré dans Zéphir auparavant

Attention, dans le cas de serveurs répartis sur plusieurs Zéphir (MEDDE), il faut avoir un serveur de logs spécifique à chaque Zéphir.
Il y a peut être moyen de créer des serveurs de log 'bidon' sur les Zéphir n'en hébergeant pas et copier les certificats pour avoir les mêmes sur tous les Zéphir (mais ça risque de poser problème au niveau de la gestion des n° de série des certificats générés).Quelques problèmes restants :

Problèmes présent sur le client 2.3:
  • Si l'addresse du serveur de réception configuré sur le client ne correspond à aucun serveur connu de Zéphir (test sur adresse ip), il propose une liste de serveurs disponible et met à jour la configuration locale en fonction du choix effectué. Cela ne marche pas à cause d'un dictionnaire ayant changé de nom (1_logs.xml -> 01_logs.xml).
  • Si l'envoi de logs est activé sans envoi par TLS, le client ne sait pas retrouver l'adresse du serveur de logs dans la configuration.

#3 Mis à jour par Thierry Bertrand il y a environ 8 ans

L'activation du rsyslog sur nos modules n'est pas systématique.
Pour nos 2.3, la solution de désactiver cette fonctionnalité le temps de l'enregistrement nous ira.

#4 Mis à jour par Bruno Boiget il y a environ 8 ans

Proposition de scénario ajoutée pour corriger la distribution de certificats sur Zéphir 2.5.X

#5 Mis à jour par Bruno Boiget il y a environ 8 ans

  • Restant à faire (heures) changé de 3.5 à 0.0

#6 Mis à jour par Scrum Master il y a environ 8 ans

  • Statut changé de En cours à Ne sera pas résolu

Formats disponibles : Atom PDF