Projet

Général

Profil

Tâche #30273

Scénario #30148: Traitement express MEN (22-24)

Eolesso : alerte de sécurité sur les protocoles supportés + Plantage du service sur test SSL

Ajouté par Renaud Dussol il y a presque 4 ans. Mis à jour il y a presque 4 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Début:
08/06/2020
Echéance:
% réalisé:

100%

Restant à faire (heures):
0.0

Description

Bonjour
nous avons aujourd'hui un eolesso en V. 2.5.2 (https://eolesso.ac-nice.fr)
Ce serveur a fait l'objet d'une alerte de sécurité de la part d'un utilisateur disant qu'il acceptait encore le protocole SSLV3 et que les suites de chiffrement supportées étaient obsolètes

Voici un extrait du message :

Bien que le serveur https://eolesso.ac-nice.fr supporte le protocole TLS 1.2, les seules suites de chiffrement supportées sont trop faibles pour être encore sécurisées, et sont par conséquent bloquées par notre stratégie de sécurité. Je ne doute pas qu'elles le seront à plus grande échelle prochainement.

Pourriez-vous mettre à jour la configuration du serveur https://eolesso.ac-nice.fr, au moins en:

  • Désactivant SSL3
  • Désactivant les suites de chiffrement obsolètes
  • Activant les suites de chiffrement modernes (notamment les suites ECDHE pour le support de PFS).

Suite à cette alerte, nous avons voulu réaliser le test mis en place par le pôle national de compétences réseaux, disponible à l'adresse :

https://reseaux.in.orion.education.fr/testssl/ (accessible uniquement de la zone racine)

Or ce test non seulement n'arrive pas au bout, mais fait carrément planter notre eolesso.

Voici les résultats du test : 
-------------------------------------------------------------------

Test demandé par : 172.30.232.10

###########################################################
RESULTAT DU TEST TLS DE VOTRE SERVEUR HTTPS
par CRT RSO / PNCR
###########################################################

 Start 2020-06-02 15:33:37        -->> 194.167.84.111:443 (eolesso.ac-nice.fr) <<--

 rDNS (194.167.84.111):  eolesso.ac-nice.fr.
 Service detected:       HTTP

 Testing protocols via sockets except NPN+ALPN 

 SSLv2      not offered (OK)
 SSLv3      offered (NOT ok)
 TLS 1       Oops: TCP connect problem

Unable to open a socket to 194.167.84.111:443. Fixme: unexpected value around line 5345, rerun with DEBUG>=2 or --ssl-native
 TLS 1.1    
----------------------------------------------------------

Il faut noter que suite au test, le service eolesso s'arrête, on est obligé de le relancer manuellement

Nous avons prévu de migrer notre eolesso en 2.6.2 cette semaine, toutefois nous voudrions savoir si cette migration corrigera les problèmes rencontrés

Nos questions sont les suivantes :

  1. Etes-vous au courant de ces problèmes sur la version 2.5.2 et savez-vous si la mise à jour en 2.6.2 les corrige ?
  2. Si ce n'est pas le cas, savez-vous si la mise à jour en 2.7 corrige les problèmes ?
  3. Eventuellement, disposez-vous d'un eolesso de test en version 2.6.2 ou 2.7 sur lequel on pourrait lancer le test de Pôle de compétences réseaux, pour voir s'il aboutit et quels en sont les résultats ?

Merci d'avance
Cordialement


Demandes liées

Lié à Distribution EOLE - Tâche #29664: TLS 1.2 pour les Scribe 2.6 et/ou 2.5 Fermé 27/02/2020

Historique

#1 Mis à jour par Joël Cuissinat il y a presque 4 ans

  • Assigné à mis à Joël Cuissinat
  • Tâche parente mis à #30148

#2 Mis à jour par Joël Cuissinat il y a presque 4 ans

  • Projet changé de EoleSSO à Distribution EOLE
  • Statut changé de Nouveau à En cours

#3 Mis à jour par Joël Cuissinat il y a presque 4 ans

  • Lié à Tâche #29664: TLS 1.2 pour les Scribe 2.6 et/ou 2.5 ajouté

#4 Mis à jour par Daniel Dehennin il y a presque 4 ans

Bonjour.

Je viens de monter rapidement un scribe 2.6.2 afin de tester avec https://reseaux.in.orion.education.fr/testssl/ mais ce test ne supporte que le port 443 alors que EoleSSO n’écoute que sur le port 8443 par défaut.

Pourriez-vous m’indiquer sur quel module est installé votre EoleSSO ainsi que la configuration pour le servir sur le port 443 ?

Merci.

#5 Mis à jour par Daniel Dehennin il y a presque 4 ans

  • Description mis à jour (diff)

#6 Mis à jour par Joël Cuissinat il y a presque 4 ans

  • Assigné à changé de Joël Cuissinat à Daniel Dehennin

#7 Mis à jour par Renaud Dussol il y a presque 4 ans

Bonjour
notre eolesso n'est pas sur un scribe, le paquet est directement installé sur un eolebase (dans la logique Portail Intranet Académique, ce n'est pas un ENT d'établissement)
On a modifié le port par défaut dans le gen_config de 8443 à 443
Merci

#8 Mis à jour par Daniel Dehennin il y a presque 4 ans

  • Assigné à changé de Daniel Dehennin à Joël Cuissinat

Je confirme les problèmes du service EoleSSO qui ne supporte pas la procédure de test en 2.6.2 non plus :

juin 10 15:08:31 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:31+0200 [HTTPChannel (TLSProtocolWrapper),1,194.254.204.214] Unhandled Error
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'no shared cipher')
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         
juin 10 15:08:31 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:31+0200 [HTTPChannel (TLSProtocolWrapper),2,194.254.204.214] Unhandled Error
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'no shared cipher')
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         
juin 10 15:08:32 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:32+0200 [HTTPChannel (TLSProtocolWrapper),3,194.254.204.214] Unhandled Error
juin 10 15:08:32 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:32 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'wrong version number')
juin 10 15:08:32 eole-lab2 eole-sso[8713]:         
juin 10 15:08:33 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:33+0200 [HTTPChannel (TLSProtocolWrapper),6,194.254.204.214] Unhandled Error
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'wrong version number')
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         
juin 10 15:08:33 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:33+0200 [HTTPChannel (TLSProtocolWrapper),7,194.254.204.214] Unhandled Error
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'unknown protocol')
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         
juin 10 15:08:33 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:33+0200 [HTTPChannel (TLSProtocolWrapper),8,194.254.204.214] Unhandled Error
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'wrong version number')
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         
juin 10 15:08:34 eole-lab2 systemd[1]: eole-sso.service: Main process exited, code=killed, status=11/SEGV
juin 10 15:08:34 eole-lab2 systemd[1]: eole-sso.service: Unit entered failed state.
juin 10 15:08:34 eole-lab2 systemd[1]: eole-sso.service: Failed with result 'signal'.
juin 10 15:10:59 eole-lab2 systemd[1]: Stopped Eole Single Sign On server.

#9 Mis à jour par Daniel Dehennin il y a presque 4 ans

  • Assigné à changé de Joël Cuissinat à Daniel Dehennin

Il est cependant aisé de contourner ce problème sur un serveur eolebase 2.6.2 en mettant Nginx en frontal :

  • Configurer EoleSSO pour écouter sur le port par défaut 8443
  • Configurer Nginx pour servir des applications (Services → Activer la publication d’applications web par Nginx (activer_nginx_web))
  • Créer le fichier /etc/nginx/web.d/eolesso.conf
    location / {
        access_log /var/log/nginx/eolesso-access.log;
        error_log /var/log/nginx/eolesso-error.log;
    
        include proxy_params;
        proxy_pass https://localhost:8443;
    }
    

#10 Mis à jour par Daniel Dehennin il y a presque 4 ans

Je viens de tester en version 2.7.1, il y a bien des erreurs dans les logs mais le service eole-sso ne plante pas.

Il est aussi tout à fait possible de mettre Nginx devant comme expliqué dans #30273#note-9.

#11 Mis à jour par Renaud Dussol il y a presque 4 ans

D'accord, donc nos 2 options sont :

- soit d'upgrader en 2.6.2 puis en 2.7.1
- soit d'upgrader en 2.6.2, puis d'installer nginx et proxyser eolesso par nginx (et on pourra de toutes façons upgrader aussi en 2.7)

Quelques questions :

- l'Upgrade-auto de 2.6.2 en 2.7 est possible ?
- le eole 2.7.2 est-il prévu pour bientôt ? (tant qu'à faire)
- Pour nginx, il y a un paquet spécifique eole-nginx et un dico associé ? (Nos serveurs sont gérés par un zephir)
- je suppose qu'en bonus si on veut on pourra faire du LB ? (avec Redis pour la gestion des sessions si j'ai bonne mémoire)

Merci

#12 Mis à jour par Daniel Dehennin il y a presque 4 ans

Renaud Dussol a écrit :

D'accord, donc nos 2 options sont :

- soit d'upgrader en 2.6.2 puis en 2.7.1
- soit d'upgrader en 2.6.2, puis d'installer nginx et proxyser eolesso par nginx (et on pourra de toutes façons upgrader aussi en 2.7)

En fait, depuis la version 2.6.2, nginx est déjà fourni par défaut pour servir GenConfig sur le port 443 (#18551).

Il n’y a donc pas grand chose à faire, dans votre cas :

  • configurer le port EoleSSO pour ne pas être en conflit
  • déposer le fichier déclarant le reverse proxy

Quelques questions :

- l'Upgrade-auto de 2.6.2 en 2.7 est possible ?

Oui, l’upgrade-auto est testé automatiquement pour les cas de base.

- le eole 2.7.2 est-il prévu pour bientôt ? (tant qu'à faire)

Nous sommes dans les dernières phases de finalisation. Notez que le passage 2.7.1 à 2.7.2 avec la commande Maj-Release est toujours plus léger que le saut de version avec Upgrade-Auto, ainsi vous pouvez prévoir le passage 2.7.1 dès maintenant et un petit extra pour le passage vers 2.7.2 par la suite.

- je suppose qu'en bonus si on veut on pourra faire du LB ? (avec Redis pour la gestion des sessions si j'ai bonne mémoire)

Vous pouvez ajouter une déclaration upstream dans /etc/nginx/upstream.d/ afin de l’utiliser dans /etc/nginx/web.d/eolesso.conf, cela permet à 1 Nginx de répartir sur plusieurs backend.

Vous avez une documentation expliquant le paramétrage EoleSSO en grappe : http://eole.ac-dijon.fr/documentations/2.7/completes/HTML/EoleSSO/co/07-mode_cluster.html

#13 Mis à jour par Daniel Dehennin il y a presque 4 ans

Daniel Dehennin a écrit :

- je suppose qu'en bonus si on veut on pourra faire du LB ? (avec Redis pour la gestion des sessions si j'ai bonne mémoire)

Vous pouvez ajouter une déclaration upstream dans /etc/nginx/upstream.d/ afin de l’utiliser dans /etc/nginx/web.d/eolesso.conf, cela permet à 1 Nginx de répartir sur plusieurs backend.

Vous avez une documentation expliquant le paramétrage EoleSSO en grappe : http://eole.ac-dijon.fr/documentations/2.7/completes/HTML/EoleSSO/co/07-mode_cluster.html

On me signale que la configuration en grappe n’est pas encore fonctionnelle en 2.7. Le scénario #25296 est prévu pour le prochain sprint ;-).

#14 Mis à jour par Renaud Dussol il y a presque 4 ans

Je ne vois pas de paquet eole-nginx mais il y a un paquet eole-reverseproxy : c'est celui-ci qu'il faut installer ?

#15 Mis à jour par Daniel Dehennin il y a presque 4 ans

Renaud Dussol a écrit :

Je ne vois pas de paquet eole-nginx mais il y a un paquet eole-reverseproxy : c'est celui-ci qu'il faut installer ?

À partir de 2.6.2, le paquet eole-reverseproxy est installé par défaut.

#16 Mis à jour par Renaud Dussol il y a presque 4 ans

C'est validé sur notre serveur de test

Le test SSL ne fait plus planter eolesso avec le nginx

Nous ferons la MAJ en prod théoriquement la semaine prochaine

Merci pour votre aide !

#17 Mis à jour par Daniel Dehennin il y a presque 4 ans

  • % réalisé changé de 0 à 100

Merci.

N’hésitez pas à nous tenir informer sur notre adresse mail ou par IRC ;-)

#18 Mis à jour par Daniel Dehennin il y a presque 4 ans

  • Statut changé de En cours à Résolu

#19 Mis à jour par Fabrice Barconnière il y a presque 4 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) mis à 0.0

Formats disponibles : Atom PDF