Project

General

Profile

Tâche #30009

Scénario #30256: Traitement express MEN (25-27)

La connexion au frontend ONE avec un compte LDAP en ldaps n'est pas fonctionnelle

Added by Matthieu Lamalle 5 months ago. Updated 3 months ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
04/10/2020
Due date:
05/22/2020
% Done:

100%

Remaining (hours):
0.0

Description

HP-003-02

https://dev-eole.ac-dijon.fr/squash/executions/10449

#8, le tcpcheck échoue sur horus

la commande tcpcheck 3 horus.domhorus.ac-test.fr:636

échoue, alors qu'elle devrait réussir

onehorus.png View (2.54 KB) Daniel Dehennin, 05/15/2020 12:11 PM


Related issues

Related to Distribution EOLE - Tâche #25368: Le DNS EOLE (hestia.eole.lan) doit déléguer les zones des Scribe et Horus AD Fermé 09/17/2018
Related to Distribution EOLE - Tâche #30361: Scribe 2.7.2 nécessite 2 reconfigure pour que ldap_ssl uniquement fonctionne Fermé 10/14/2019

History

#1 Updated by Joël Cuissinat 5 months ago

  • Status changed from Nouveau to En cours
  • Assigned To set to Joël Cuissinat

#2 Updated by Joël Cuissinat 4 months ago

  • Related to Tâche #25368: Le DNS EOLE (hestia.eole.lan) doit déléguer les zones des Scribe et Horus AD added

#3 Updated by Joël Cuissinat 4 months ago

Il y a eu toute une période, où les machines ACA Scribe et Horus avaient un sous-domaine, ce n'est plus le cas :

root@hapy:~# ping horus.domhorus.ac-test.fr 
ping: horus.domhorus.ac-test.fr: Nom ou service inconnu

#4 Updated by Joël Cuissinat 4 months ago

En (re)mettant horus.ac-test (test mis à jour avec un jeu de donnée), le test passe jusqu'au pas n°12 mais on n'arrive pas à se logguer sur l'interface (Invalid username or password) et il n'y a absolument rien dans les logs du module Hâpy.

J'ai pensé à un problème (nouveau) de certificats mais l'exécution des commandes suivantes n'a rien changé :

root@hapy:~# scp root@horus.ac-test.fr:/etc/ssl/certs/ca_local.crt /usr/local/share/ca-certificates/
Warning: Permanently added 'horus.ac-test.fr,192.168.0.25' (ECDSA) to the list of known hosts.
root@horus.ac-test.fr's password: 
ca_local.crt                                                                                                                                                                     100% 1801     1.2MB/s   00:00    
root@hapy:~# update-ca-certificates
Updating certificates in /etc/ssl/certs...
rehash: warning: skipping duplicate certificate in ca.crt
rehash: warning: skipping duplicate certificate in eole.pem
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.

En creusant, on peut trouver une erreur sur Horus :


root@horus:~# slapd -f /etc/ldap/slapd.conf -u openldap -g openldap -d 256 -h 'ldaps:// ldap:// ldapi://'
5ebd0058 @(#) $OpenLDAP: slapd  (Ubuntu) (May  1 2020 17:11:02) $
    Debian OpenLDAP Maintainers <pkg-openldap-devel@lists.alioth.debian.org>
5ebd0058 slapd starting
5ebd0063 conn=1000 fd=18 ACCEPT from IP=127.0.0.1:51100 (IP=0.0.0.0:389)
5ebd0063 conn=1000 op=0 SRCH base="o=gouv,c=fr" scope=2 deref=0 filter="(objectClass=inetOrgPerson)" 
5ebd0063 conn=1000 op=0 SRCH attr=1.1
5ebd0063 conn=1000 op=0 SEARCH RESULT tag=101 err=0 nentries=2 text=
5ebd0063 conn=1000 op=1 SRCH base="o=gouv,c=fr" scope=2 deref=0 filter="(objectClass=posixGroup)" 
5ebd0063 conn=1000 op=1 SRCH attr=1.1
5ebd0063 conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=6 text=
5ebd0063 conn=1000 op=2 SRCH base="o=gouv,c=fr" scope=2 deref=0 filter="(objectClass=sambaFileShare)" 
5ebd0063 conn=1000 op=2 SRCH attr=1.1
5ebd0063 conn=1000 op=2 SEARCH RESULT tag=101 err=0 nentries=4 text=
5ebd0064 conn=1000 op=3 SRCH base="o=gouv,c=fr" scope=2 deref=0 filter="(&(objectClass=posixAccount)(description=computer))" 
5ebd0064 conn=1000 op=3 SRCH attr=1.1
5ebd0064 conn=1000 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text=
5ebd0064 conn=1000 op=4 UNBIND
5ebd0064 conn=1000 fd=18 closed
5ebd0067 conn=1001 fd=18 ACCEPT from IP=192.168.0.115:59078 (IP=0.0.0.0:636)
5ebd0067 conn=1001 fd=18 TLS established tls_ssf=256 ssf=256
5ebd0067 conn=1001 fd=18 closed (connection lost)
5ebd0068 conn=1002 fd=18 ACCEPT from IP=192.168.0.115:59082 (IP=0.0.0.0:636)
5ebd0068 conn=1002 fd=18 TLS established tls_ssf=256 ssf=256
5ebd0068 conn=1002 fd=18 closed (connection lost)

#5 Updated by Joël Cuissinat 4 months ago

  • Status changed from En cours to Nouveau

En déployant le module Hâpy puis le module Horus en 2.7.1, cela ne fonctionne pas mieux !

L'authentification en mode ldap "simple" est bien fonctionnelle.

#6 Updated by Joël Cuissinat 4 months ago

  • Assigned To deleted (Joël Cuissinat)
  • Parent task deleted (#29871)

#7 Updated by Joël Cuissinat 4 months ago

  • Tracker changed from Tâche to Scénario
  • Subject changed from HP-003-02, #8, le tcpcheck échoue sur horus to La connexion au frontend ONE avec un compte LDAP en ldaps n'est pas fonctionnelle
  • Description updated (diff)
  • Due date set to 05/22/2020
  • Target version changed from Prestation Cadoles MEN 19-21 to sprint 2020 19-21 Equipe MENSR

#8 Updated by Daniel Dehennin 4 months ago

Cela vient du certificat non reconnu, même sur Horus lui même :

root@horus:~# ldapsearch -x -d 1 -H ldaps://localhost:636 -b o=gouv,c=fr
ldap_url_parse_ext(ldaps://localhost:636)
ldap_create
ldap_url_parse_ext(ldaps://localhost:636/??base)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP localhost:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 127.0.0.1:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect: 
connect success
TLS: peer cert untrusted or revoked (0x42)
TLS: can't connect: (unknown error code).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Sur Hâpy, j'ai :

  • Ajouté une entrée /etc/hosts pour horus.domhorus.ac-test.fr (+reconfigure)
  • Configuré le fichier contenant toutes les CA :
    echo TLS_CACERT /etc/ssl/certs/ca-certificates.crt >> /etc/ldap/ldap.conf
    
  • Ajouté la CA de l'Horus à l'Hapy :
    root@hapy:~# scp root@horus.ac-test.fr:/etc/ssl/certs/ca.crt /usr/local/share/ca-certificates/horus.ac-test.fr.crt
    ca.crt                                                                                                                                                                            100% 1801     1.1MB/s   00:00    
    root@hapy:~# update-ca-certificates 
    Updating certificates in /etc/ssl/certs...
    rehash: warning: skipping duplicate certificate in ca.crt
    rehash: warning: skipping duplicate certificate in eole.pem
    1 added, 0 removed; done.
    Running hooks in /etc/ca-certificates/update.d...
    done.
    

#9 Updated by Daniel Dehennin 4 months ago

En tout cas je confirme que cela fonctionne :

#10 Updated by Joël Cuissinat 4 months ago

  • Target version changed from sprint 2020 19-21 Equipe MENSR to sprint 2020 22-24 Equipe MENSR

#11 Updated by Joël Cuissinat 4 months ago

  • Parent task set to #30256

#12 Updated by Joël Cuissinat 3 months ago

  • Assigned To set to Joël Cuissinat

#13 Updated by Joël Cuissinat 3 months ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

J'ai repris le test pour qu'il soit exécuté avec aca.scribe afin d'anticiper la disparition d'Horus en 2.8.

J'ai réussi à l'exécuter sans avoir recours à une copie de certificat ou une modification de configuration !

Ceci dit quand on voit ce qui suit, ça ne m'étonne guère :

root@hapy:~# tail -n3 /etc/ldap/ldap.conf
tls_checkpeer no
TLSVerifyClient never
TLS_REQCERT     never

#14 Updated by Fabrice Barconnière 3 months ago

  • Status changed from Résolu to En cours

Modification du pas 8 :
ne demande plus l'enregistrement des valeurs dans gen_config, c'est fait avec l'appel au cas de test de la bibliothèque dans les pas suivants.

Scribe ne semble pas écouter sur 636 : https://dev-eole.ac-dijon.fr/squash/executions/10760

#15 Updated by Fabrice Barconnière 3 months ago

Au 2ème reconfigure du Scribe, C'est OK.
J'approuve le test mais je le laisse en erreur.
Demande pour traiter le cas double reconfigure pour que le ldap_ssl fonctionne sur Scribe : #30361

#16 Updated by Fabrice Barconnière 3 months ago

  • Related to Tâche #30361: Scribe 2.7.2 nécessite 2 reconfigure pour que ldap_ssl uniquement fonctionne added

#17 Updated by Fabrice Barconnière 3 months ago

  • Status changed from En cours to Résolu

#18 Updated by Fabrice Barconnière 3 months ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF