https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2020-04-16T10:58:11ZEnsemble Ouvert Libre ÉvolutifDistribution EOLE - Tâche #29930: Validation du scénario Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASLhttps://dev-eole.ac-dijon.fr/issues/29930?journal_id=1430502020-04-16T10:58:11ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-5 status-16 priority-4 priority-default closed parent" href="/issues/29695">Scénario #29695</a>: Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASL</i> ajouté</li></ul> Distribution EOLE - Tâche #29930: Validation du scénario Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASLhttps://dev-eole.ac-dijon.fr/issues/29930?journal_id=1435642020-05-05T08:41:11ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>En cours</i></li></ul> Distribution EOLE - Tâche #29930: Validation du scénario Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASLhttps://dev-eole.ac-dijon.fr/issues/29930?journal_id=1435652020-05-05T08:41:15ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Assigné à</strong> mis à <i>Joël Cuissinat</i></li></ul> Distribution EOLE - Tâche #29930: Validation du scénario Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASLhttps://dev-eole.ac-dijon.fr/issues/29930?journal_id=1436162020-05-06T09:01:57ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul></ul><p><ins>Maquette de validation</ins></p>
<ul>
<li>aca.dc1-2.7.1.2-instance-default</li>
<li>aca.scribe-2.8.0a0-Daily</li>
</ul>
<p>Pour l'instant, le paquet n'est pas pré-installé sur ScribeAD : <strong>TODO</strong> (Depends)<br /><pre>
apt-eole install eole-saslauthd
</pre></p>
<p>Ni activé : <strong>TODO</strong> (redefine)<br /><pre>
CreoleSet ldap_sasl_auth_delegation oui
</pre></p>
<p>La variable <strong>sasl_ldap_auth_local</strong> n'est pas calculée (défaut "oui"), ni les autres de la famille...</p>
<p>Je vais plutôt commencer par tester en <strong>mode conteneur local</strong> ;)</p>
<p><ins>Instance ScribeAD</ins></p>
<p>Une fois le serveur instancié cela me parait correct :</p>
<pre>
root@scribe:~# changepasswordeole.pl admin Azerty!
Password changed
root@scribe:~# dn="uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=0000000A,ou=ac-test,ou=education,o=gouv,c=fr"
root@scribe:~# ldapsearch -LLL -x -D $dn -w 'Azerty!' '(uid=admin)' userPassword | awk '/^userPassword/ {print $2}' | base64 -d; echo
{SASL}admin@domscribe.ac-test.fr
root@scribe:~# testsaslauthd -u admin@domscribe.ac-test.fr -p eole # effet "cache" signalé par Benjamin
0: OK "Success."
root@scribe:~# testsaslauthd -u admin@domscribe.ac-test.fr -p Azerty!
0: OK "Success."
root@scribe:~# testsaslauthd -u admin@domscribe.ac-test.fr -p eole
0: NO "authentication failed"
</pre>
<p>Il faut notamment arrêter d'écraser le mot de passe "admin" => <a class="issue tracker-6 status-5 priority-4 priority-default closed child" title="Tâche: Le mot de passe de l'utilisateur "admin" ne devrait plus être re-demandé/écrasé à l'instance (Fermé)" href="https://dev-eole.ac-dijon.fr/issues/30078">#30078</a></p>
<p><ins>GenConfig ScribeAD</ins></p>
<ul>
<li>onglet Openldap
<ul>
<li><del>ldap_sasl_auth_delegation à forcer à oui</del></li>
</ul>
</li>
<li>onglet Saslauthd <del>(TODO : trouver une icône)</del>
<ul>
<li><del>sasl_mechanism : à masquer nativement (liste à un élément)</del></li>
<li><del>sasl_ldap_auth_local : ajouter un auto_copy_val depuis ad_local</del></li>
<li><del>sasl_ldap_reader : à masquer en mode local</del></li>
</ul></li>
</ul>
<p><ins>GenConfig ScribeAD</ins></p>
<ul>
<li>onglet Openldap
<ul>
<li>ldap_sasl_auth_delegation à forcer à oui ?</li>
</ul>
</li>
<li>onglet Saslauthd
<ul>
<li>sasl_mechanism : <em>idem</em></li>
<li>sasl_ldap_auth_local : <em>idem</em></li>
<li>sasl_ldap_auth_realm & sasl_ldap_auth_server : vérifier le calcul et masquer si OK</li>
<li>sasl_ldap_auth_cacert : FIXME (point à vérifier)</li>
<li>sasl_ldap_reader : ad_user par défaut ?</li>
</ul></li>
</ul>
<p><ins>Instance EoleAD</ins></p>
<ul>
<li>Configuration : injection du certificat dans la configuration (FIXME)<br /><pre>
"sasl_ldap_auth_cacert":{"owner":"gen_config","val":"/root/ca.pem"},
</pre></li>
</ul>
<ul>
<li>Problématique du mot de passe "reader"</li>
</ul>
La cinématique actuelle est la suivante :
<ul>
<li>pretemplate/30-saslauthd : génération d'un mot de passe aléatoire dans <strong>/etc/eole/private/sasl-reader.password</strong></li>
<li>templatisation du fichier <strong>/etc/saslauthd.conf</strong> avec une inclusion cheetah du fichier sasl-reader.password généré précédemment</li>
<li>postservice/30-saslauthd : mise à jour du mot de passe de l'utilisateur AD "sasl_ldap_reader" (en mode local uniquement)</li>
</ul> Distribution EOLE - Tâche #29930: Validation du scénario Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASLhttps://dev-eole.ac-dijon.fr/issues/29930?journal_id=1437812020-05-13T10:36:11ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Statut</strong> changé de <i>En cours</i> à <i>Fermé</i></li><li><strong>% réalisé</strong> changé de <i>0</i> à <i>100</i></li><li><strong>Restant à faire (heures)</strong> mis à <i>0.0</i></li></ul><p>=> les éléments laissés en suspend sont repris dans le nouveau scénario : <a class="issue tracker-5 status-16 priority-4 priority-default closed parent" title="Scénario: Implémenter la délégation d'authentification sur Scribe 2.8.0 avec un AD distant (Terminé (Sprint))" href="https://dev-eole.ac-dijon.fr/issues/30106">#30106</a></p>