Tâche #29930
Scénario #29928: Validation des scénario 'cadoles'
Validation du scénario Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASL
Début:
16/04/2020
Echéance:
% réalisé:
100%
Restant à faire (heures):
0.0
Demandes liées
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Lié à Scénario #29695: Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASL ajouté
#2 Mis à jour par Joël Cuissinat il y a presque 4 ans
- Statut changé de Nouveau à En cours
#3 Mis à jour par Joël Cuissinat il y a presque 4 ans
- Assigné à mis à Joël Cuissinat
#4 Mis à jour par Joël Cuissinat il y a presque 4 ans
Maquette de validation
- aca.dc1-2.7.1.2-instance-default
- aca.scribe-2.8.0a0-Daily
Pour l'instant, le paquet n'est pas pré-installé sur ScribeAD : TODO (Depends)
apt-eole install eole-saslauthd
Ni activé : TODO (redefine)
CreoleSet ldap_sasl_auth_delegation oui
La variable sasl_ldap_auth_local n'est pas calculée (défaut "oui"), ni les autres de la famille...
Je vais plutôt commencer par tester en mode conteneur local ;)
Instance ScribeAD
Une fois le serveur instancié cela me parait correct :
root@scribe:~# changepasswordeole.pl admin Azerty!
Password changed
root@scribe:~# dn="uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=0000000A,ou=ac-test,ou=education,o=gouv,c=fr"
root@scribe:~# ldapsearch -LLL -x -D $dn -w 'Azerty!' '(uid=admin)' userPassword | awk '/^userPassword/ {print $2}' | base64 -d; echo
{SASL}admin@domscribe.ac-test.fr
root@scribe:~# testsaslauthd -u admin@domscribe.ac-test.fr -p eole # effet "cache" signalé par Benjamin
0: OK "Success."
root@scribe:~# testsaslauthd -u admin@domscribe.ac-test.fr -p Azerty!
0: OK "Success."
root@scribe:~# testsaslauthd -u admin@domscribe.ac-test.fr -p eole
0: NO "authentication failed"
Il faut notamment arrêter d'écraser le mot de passe "admin" => #30078
GenConfig ScribeAD
- onglet Openldap
ldap_sasl_auth_delegation à forcer à oui
- onglet Saslauthd
(TODO : trouver une icône)sasl_mechanism : à masquer nativement (liste à un élément)sasl_ldap_auth_local : ajouter un auto_copy_val depuis ad_localsasl_ldap_reader : à masquer en mode local
GenConfig ScribeAD
- onglet Openldap
- ldap_sasl_auth_delegation à forcer à oui ?
- onglet Saslauthd
- sasl_mechanism : idem
- sasl_ldap_auth_local : idem
- sasl_ldap_auth_realm & sasl_ldap_auth_server : vérifier le calcul et masquer si OK
- sasl_ldap_auth_cacert : FIXME (point à vérifier)
- sasl_ldap_reader : ad_user par défaut ?
Instance EoleAD
- Configuration : injection du certificat dans la configuration (FIXME)
"sasl_ldap_auth_cacert":{"owner":"gen_config","val":"/root/ca.pem"},
- Problématique du mot de passe "reader"
- pretemplate/30-saslauthd : génération d'un mot de passe aléatoire dans /etc/eole/private/sasl-reader.password
- templatisation du fichier /etc/saslauthd.conf avec une inclusion cheetah du fichier sasl-reader.password généré précédemment
- postservice/30-saslauthd : mise à jour du mot de passe de l'utilisateur AD "sasl_ldap_reader" (en mode local uniquement)
#5 Mis à jour par Joël Cuissinat il y a presque 4 ans
- Statut changé de En cours à Fermé
- % réalisé changé de 0 à 100
- Restant à faire (heures) mis à 0.0
=> les éléments laissés en suspend sont repris dans le nouveau scénario : #30106