Project

General

Profile

Tâche #30273

Scénario #30148: Traitement express MEN (22-24)

Eolesso : alerte de sécurité sur les protocoles supportés + Plantage du service sur test SSL

Added by Renaud Dussol 11 months ago. Updated 11 months ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
06/08/2020
Due date:
% Done:

100%

Remaining (hours):
0.0

Description

Bonjour
nous avons aujourd'hui un eolesso en V. 2.5.2 (https://eolesso.ac-nice.fr)
Ce serveur a fait l'objet d'une alerte de sécurité de la part d'un utilisateur disant qu'il acceptait encore le protocole SSLV3 et que les suites de chiffrement supportées étaient obsolètes

Voici un extrait du message :

Bien que le serveur https://eolesso.ac-nice.fr supporte le protocole TLS 1.2, les seules suites de chiffrement supportées sont trop faibles pour être encore sécurisées, et sont par conséquent bloquées par notre stratégie de sécurité. Je ne doute pas qu'elles le seront à plus grande échelle prochainement.

Pourriez-vous mettre à jour la configuration du serveur https://eolesso.ac-nice.fr, au moins en:

  • Désactivant SSL3
  • Désactivant les suites de chiffrement obsolètes
  • Activant les suites de chiffrement modernes (notamment les suites ECDHE pour le support de PFS).

Suite à cette alerte, nous avons voulu réaliser le test mis en place par le pôle national de compétences réseaux, disponible à l'adresse :

https://reseaux.in.orion.education.fr/testssl/ (accessible uniquement de la zone racine)

Or ce test non seulement n'arrive pas au bout, mais fait carrément planter notre eolesso.

Voici les résultats du test : 
-------------------------------------------------------------------

Test demandé par : 172.30.232.10

###########################################################
RESULTAT DU TEST TLS DE VOTRE SERVEUR HTTPS
par CRT RSO / PNCR
###########################################################

 Start 2020-06-02 15:33:37        -->> 194.167.84.111:443 (eolesso.ac-nice.fr) <<--

 rDNS (194.167.84.111):  eolesso.ac-nice.fr.
 Service detected:       HTTP

 Testing protocols via sockets except NPN+ALPN 

 SSLv2      not offered (OK)
 SSLv3      offered (NOT ok)
 TLS 1       Oops: TCP connect problem

Unable to open a socket to 194.167.84.111:443. Fixme: unexpected value around line 5345, rerun with DEBUG>=2 or --ssl-native
 TLS 1.1    
----------------------------------------------------------

Il faut noter que suite au test, le service eolesso s'arrête, on est obligé de le relancer manuellement

Nous avons prévu de migrer notre eolesso en 2.6.2 cette semaine, toutefois nous voudrions savoir si cette migration corrigera les problèmes rencontrés

Nos questions sont les suivantes :

  1. Etes-vous au courant de ces problèmes sur la version 2.5.2 et savez-vous si la mise à jour en 2.6.2 les corrige ?
  2. Si ce n'est pas le cas, savez-vous si la mise à jour en 2.7 corrige les problèmes ?
  3. Eventuellement, disposez-vous d'un eolesso de test en version 2.6.2 ou 2.7 sur lequel on pourrait lancer le test de Pôle de compétences réseaux, pour voir s'il aboutit et quels en sont les résultats ?

Merci d'avance
Cordialement


Related issues

Related to Distribution EOLE - Tâche #29664: TLS 1.2 pour les Scribe 2.6 et/ou 2.5 Fermé 02/27/2020

History

#1 Updated by Joël Cuissinat 11 months ago

  • Assigned To set to Joël Cuissinat
  • Parent task set to #30148

#2 Updated by Joël Cuissinat 11 months ago

  • Project changed from EoleSSO to Distribution EOLE
  • Status changed from Nouveau to En cours

#3 Updated by Joël Cuissinat 11 months ago

  • Related to Tâche #29664: TLS 1.2 pour les Scribe 2.6 et/ou 2.5 added

#4 Updated by Daniel Dehennin 11 months ago

Bonjour.

Je viens de monter rapidement un scribe 2.6.2 afin de tester avec https://reseaux.in.orion.education.fr/testssl/ mais ce test ne supporte que le port 443 alors que EoleSSO n’écoute que sur le port 8443 par défaut.

Pourriez-vous m’indiquer sur quel module est installé votre EoleSSO ainsi que la configuration pour le servir sur le port 443 ?

Merci.

#5 Updated by Daniel Dehennin 11 months ago

  • Description updated (diff)

#6 Updated by Joël Cuissinat 11 months ago

  • Assigned To changed from Joël Cuissinat to Daniel Dehennin

#7 Updated by Renaud Dussol 11 months ago

Bonjour
notre eolesso n'est pas sur un scribe, le paquet est directement installé sur un eolebase (dans la logique Portail Intranet Académique, ce n'est pas un ENT d'établissement)
On a modifié le port par défaut dans le gen_config de 8443 à 443
Merci

#8 Updated by Daniel Dehennin 11 months ago

  • Assigned To changed from Daniel Dehennin to Joël Cuissinat

Je confirme les problèmes du service EoleSSO qui ne supporte pas la procédure de test en 2.6.2 non plus :

juin 10 15:08:31 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:31+0200 [HTTPChannel (TLSProtocolWrapper),1,194.254.204.214] Unhandled Error
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'no shared cipher')
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         
juin 10 15:08:31 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:31+0200 [HTTPChannel (TLSProtocolWrapper),2,194.254.204.214] Unhandled Error
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:31 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:31 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'no shared cipher')
juin 10 15:08:31 eole-lab2 eole-sso[8713]:         
juin 10 15:08:32 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:32+0200 [HTTPChannel (TLSProtocolWrapper),3,194.254.204.214] Unhandled Error
juin 10 15:08:32 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:32 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:32 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:32 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'wrong version number')
juin 10 15:08:32 eole-lab2 eole-sso[8713]:         
juin 10 15:08:33 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:33+0200 [HTTPChannel (TLSProtocolWrapper),6,194.254.204.214] Unhandled Error
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'wrong version number')
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         
juin 10 15:08:33 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:33+0200 [HTTPChannel (TLSProtocolWrapper),7,194.254.204.214] Unhandled Error
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'unknown protocol')
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         
juin 10 15:08:33 eole-lab2 eole-sso[8713]: 2020-06-10 15:08:33+0200 [HTTPChannel (TLSProtocolWrapper),8,194.254.204.214] Unhandled Error
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         Traceback (most recent call last):
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 101, in callWithLogger
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return callWithContext({"system": lp}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return context.call({ILogContext: newCtx}, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self.currentContext().callWithContext(ctx, func, *args, **kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return func(*args,**kw)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         --- <exception caught here> ---
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 597, in _doReadOrWrite
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             why = selectable.doRead()
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 209, in doRead
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             return self._dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 215, in _dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             rval = self.protocol.dataReceived(data)
juin 10 15:08:33 eole-lab2 eole-sso[8713]:           File "/usr/lib/python2.7/dist-packages/M2Crypto/SSL/TwistedProtocolWrapper.py", line 312, in dataReceived
juin 10 15:08:33 eole-lab2 eole-sso[8713]:             raise e
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         M2Crypto.BIO.BIOError: (0L, 'wrong version number')
juin 10 15:08:33 eole-lab2 eole-sso[8713]:         
juin 10 15:08:34 eole-lab2 systemd[1]: eole-sso.service: Main process exited, code=killed, status=11/SEGV
juin 10 15:08:34 eole-lab2 systemd[1]: eole-sso.service: Unit entered failed state.
juin 10 15:08:34 eole-lab2 systemd[1]: eole-sso.service: Failed with result 'signal'.
juin 10 15:10:59 eole-lab2 systemd[1]: Stopped Eole Single Sign On server.

#9 Updated by Daniel Dehennin 11 months ago

  • Assigned To changed from Joël Cuissinat to Daniel Dehennin

Il est cependant aisé de contourner ce problème sur un serveur eolebase 2.6.2 en mettant Nginx en frontal :

  • Configurer EoleSSO pour écouter sur le port par défaut 8443
  • Configurer Nginx pour servir des applications (Services → Activer la publication d’applications web par Nginx (activer_nginx_web))
  • Créer le fichier /etc/nginx/web.d/eolesso.conf
    location / {
        access_log /var/log/nginx/eolesso-access.log;
        error_log /var/log/nginx/eolesso-error.log;
    
        include proxy_params;
        proxy_pass https://localhost:8443;
    }
    

#10 Updated by Daniel Dehennin 11 months ago

Je viens de tester en version 2.7.1, il y a bien des erreurs dans les logs mais le service eole-sso ne plante pas.

Il est aussi tout à fait possible de mettre Nginx devant comme expliqué dans #30273#note-9.

#11 Updated by Renaud Dussol 11 months ago

D'accord, donc nos 2 options sont :

- soit d'upgrader en 2.6.2 puis en 2.7.1
- soit d'upgrader en 2.6.2, puis d'installer nginx et proxyser eolesso par nginx (et on pourra de toutes façons upgrader aussi en 2.7)

Quelques questions :

- l'Upgrade-auto de 2.6.2 en 2.7 est possible ?
- le eole 2.7.2 est-il prévu pour bientôt ? (tant qu'à faire)
- Pour nginx, il y a un paquet spécifique eole-nginx et un dico associé ? (Nos serveurs sont gérés par un zephir)
- je suppose qu'en bonus si on veut on pourra faire du LB ? (avec Redis pour la gestion des sessions si j'ai bonne mémoire)

Merci

#12 Updated by Daniel Dehennin 11 months ago

Renaud Dussol a écrit :

D'accord, donc nos 2 options sont :

- soit d'upgrader en 2.6.2 puis en 2.7.1
- soit d'upgrader en 2.6.2, puis d'installer nginx et proxyser eolesso par nginx (et on pourra de toutes façons upgrader aussi en 2.7)

En fait, depuis la version 2.6.2, nginx est déjà fourni par défaut pour servir GenConfig sur le port 443 (#18551).

Il n’y a donc pas grand chose à faire, dans votre cas :

  • configurer le port EoleSSO pour ne pas être en conflit
  • déposer le fichier déclarant le reverse proxy

Quelques questions :

- l'Upgrade-auto de 2.6.2 en 2.7 est possible ?

Oui, l’upgrade-auto est testé automatiquement pour les cas de base.

- le eole 2.7.2 est-il prévu pour bientôt ? (tant qu'à faire)

Nous sommes dans les dernières phases de finalisation. Notez que le passage 2.7.1 à 2.7.2 avec la commande Maj-Release est toujours plus léger que le saut de version avec Upgrade-Auto, ainsi vous pouvez prévoir le passage 2.7.1 dès maintenant et un petit extra pour le passage vers 2.7.2 par la suite.

- je suppose qu'en bonus si on veut on pourra faire du LB ? (avec Redis pour la gestion des sessions si j'ai bonne mémoire)

Vous pouvez ajouter une déclaration upstream dans /etc/nginx/upstream.d/ afin de l’utiliser dans /etc/nginx/web.d/eolesso.conf, cela permet à 1 Nginx de répartir sur plusieurs backend.

Vous avez une documentation expliquant le paramétrage EoleSSO en grappe : http://eole.ac-dijon.fr/documentations/2.7/completes/HTML/EoleSSO/co/07-mode_cluster.html

#13 Updated by Daniel Dehennin 11 months ago

Daniel Dehennin a écrit :

- je suppose qu'en bonus si on veut on pourra faire du LB ? (avec Redis pour la gestion des sessions si j'ai bonne mémoire)

Vous pouvez ajouter une déclaration upstream dans /etc/nginx/upstream.d/ afin de l’utiliser dans /etc/nginx/web.d/eolesso.conf, cela permet à 1 Nginx de répartir sur plusieurs backend.

Vous avez une documentation expliquant le paramétrage EoleSSO en grappe : http://eole.ac-dijon.fr/documentations/2.7/completes/HTML/EoleSSO/co/07-mode_cluster.html

On me signale que la configuration en grappe n’est pas encore fonctionnelle en 2.7. Le scénario #25296 est prévu pour le prochain sprint ;-).

#14 Updated by Renaud Dussol 11 months ago

Je ne vois pas de paquet eole-nginx mais il y a un paquet eole-reverseproxy : c'est celui-ci qu'il faut installer ?

#15 Updated by Daniel Dehennin 11 months ago

Renaud Dussol a écrit :

Je ne vois pas de paquet eole-nginx mais il y a un paquet eole-reverseproxy : c'est celui-ci qu'il faut installer ?

À partir de 2.6.2, le paquet eole-reverseproxy est installé par défaut.

#16 Updated by Renaud Dussol 11 months ago

C'est validé sur notre serveur de test

Le test SSL ne fait plus planter eolesso avec le nginx

Nous ferons la MAJ en prod théoriquement la semaine prochaine

Merci pour votre aide !

#17 Updated by Daniel Dehennin 11 months ago

  • % Done changed from 0 to 100

Merci.

N’hésitez pas à nous tenir informer sur notre adresse mail ou par IRC ;-)

#18 Updated by Daniel Dehennin 11 months ago

  • Status changed from En cours to Résolu

#19 Updated by Fabrice Barconnière 11 months ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF