Project

General

Profile

Tâche #29930

Scénario #29928: Validation des scénario 'cadoles'

Validation du scénario Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASL

Added by Joël Cuissinat over 1 year ago. Updated over 1 year ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
04/16/2020
Due date:
% Done:

100%

Remaining (hours):
0.0

Related issues

Related to eole-saslauthd - Scénario #29695: Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASL Terminé (Sprint) 04/14/2020 04/30/2020

History

#1 Updated by Joël Cuissinat over 1 year ago

  • Related to Scénario #29695: Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASL added

#2 Updated by Joël Cuissinat over 1 year ago

  • Status changed from Nouveau to En cours

#3 Updated by Joël Cuissinat over 1 year ago

  • Assigned To set to Joël Cuissinat

#4 Updated by Joël Cuissinat over 1 year ago

Maquette de validation

  • aca.dc1-2.7.1.2-instance-default
  • aca.scribe-2.8.0a0-Daily

Pour l'instant, le paquet n'est pas pré-installé sur ScribeAD : TODO (Depends)

apt-eole install eole-saslauthd

Ni activé : TODO (redefine)

CreoleSet ldap_sasl_auth_delegation oui

La variable sasl_ldap_auth_local n'est pas calculée (défaut "oui"), ni les autres de la famille...

Je vais plutôt commencer par tester en mode conteneur local ;)

Instance ScribeAD

Une fois le serveur instancié cela me parait correct :

root@scribe:~# changepasswordeole.pl admin Azerty!
Password changed
root@scribe:~# dn="uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=0000000A,ou=ac-test,ou=education,o=gouv,c=fr" 
root@scribe:~# ldapsearch -LLL -x -D $dn -w 'Azerty!' '(uid=admin)' userPassword | awk '/^userPassword/ {print $2}' | base64 -d; echo
{SASL}admin@domscribe.ac-test.fr
root@scribe:~# testsaslauthd -u admin@domscribe.ac-test.fr -p eole # effet "cache" signalé par Benjamin
0: OK "Success." 
root@scribe:~# testsaslauthd -u admin@domscribe.ac-test.fr -p Azerty!
0: OK "Success." 
root@scribe:~# testsaslauthd -u admin@domscribe.ac-test.fr -p eole 
0: NO "authentication failed" 

Il faut notamment arrêter d'écraser le mot de passe "admin" => #30078

GenConfig ScribeAD

  • onglet Openldap
    • ldap_sasl_auth_delegation à forcer à oui
  • onglet Saslauthd (TODO : trouver une icône)
    • sasl_mechanism : à masquer nativement (liste à un élément)
    • sasl_ldap_auth_local : ajouter un auto_copy_val depuis ad_local
    • sasl_ldap_reader : à masquer en mode local

GenConfig ScribeAD

  • onglet Openldap
    • ldap_sasl_auth_delegation à forcer à oui ?
  • onglet Saslauthd
    • sasl_mechanism : idem
    • sasl_ldap_auth_local : idem
    • sasl_ldap_auth_realm & sasl_ldap_auth_server : vérifier le calcul et masquer si OK
    • sasl_ldap_auth_cacert : FIXME (point à vérifier)
    • sasl_ldap_reader : ad_user par défaut ?

Instance EoleAD

  • Configuration : injection du certificat dans la configuration (FIXME)
    "sasl_ldap_auth_cacert":{"owner":"gen_config","val":"/root/ca.pem"},
    
  • Problématique du mot de passe "reader"
La cinématique actuelle est la suivante :
  • pretemplate/30-saslauthd : génération d'un mot de passe aléatoire dans /etc/eole/private/sasl-reader.password
  • templatisation du fichier /etc/saslauthd.conf avec une inclusion cheetah du fichier sasl-reader.password généré précédemment
  • postservice/30-saslauthd : mise à jour du mot de passe de l'utilisateur AD "sasl_ldap_reader" (en mode local uniquement)

#5 Updated by Joël Cuissinat over 1 year ago

  • Status changed from En cours to Fermé
  • % Done changed from 0 to 100
  • Remaining (hours) set to 0.0

=> les éléments laissés en suspend sont repris dans le nouveau scénario : #30106

Also available in: Atom PDF