Project

General

Profile

Tâche #30404

Scénario #25296: L’installation du SSO en mode cluster n’est pas fonctionnelle en 2.7

Problème SSL et d'architecture.

Added by Philippe Caseiro about 1 year ago. Updated about 1 year ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
06/03/2020
Due date:
% Done:

100%

Remaining (hours):
0.0

Description

Visiblement, il y a un problème avec les certificats SSL générés dans eole-sso pour le mode "cluster".

Si on désactive la vérficiation dans la configuration du serveur stunnel4 sur l'eolebase (serveur qui héberge le redis) le serveur SSO du scribe est fonctionnel.

Je propose de revoir complètement l'architecture de cette partie, c'est vraiment très difficile a comprendre et je pense que beaucoup de choses sont faites sans véritable raison, l'architecture devrait être extrèement simple, il devrait y avoir un paramètre pour permettre à EOLE-SSO d'utiliser un serveur redis pour stocker ses clés de session et "."
De manière indépendante on monte un cluster redis et ".", l'existence même des paquets eole-sso-cluster-server eole-sso-cluster-client eole-sso-cluster-common est inutile, eole-sso et eole-redis suffisent largement.

Associated revisions

Revision a0f837f1 (diff)
Added by Daniel Dehennin about 1 year ago

stunnel: verification of peer certificate does not work

To verify only the peer certificate we need to set “verifyChain=no”
and “verifyPeer=yes”

  • cluster_client/tmpl/stunnel_redis_client.conf: set “verifyPeer” and
    “verifyChain”

Ref: #30404

Revision 23b2a4f3 (diff)
Added by Daniel Dehennin about 1 year ago

Fix unsupported option for Bionic

Ref: #30404

Revision 383ae7ab (diff)
Added by Daniel Dehennin about 1 year ago

stunnel: enable the service

Ref: #30404

Revision 56458cb6 (diff)
Added by Joël Cuissinat about 1 year ago

"stunnel_opts" variable is not available in eole-sso-cluster-client

Ref: #30404

History

#1 Updated by Philippe Caseiro about 1 year ago

  • Subject changed from Problème SSL to Problème SSL et d'architecture.
  • Description updated (diff)
  • Assigned To set to Joël Cuissinat

#2 Updated by Daniel Dehennin about 1 year ago

Test du SSL :

  • aca.eolebase
    • Installation du paquet eole-sso-cluster-server
    • Reconfigurer le serveur
    • Arrêt du service redis pour tester le SSL (il y en a étrangement plusieurs qui tournent)
      systemctl stop redis.service redis-server.service redis2-server.service redis-eolesso.service
      
    • Écouter sur la sortie du stunnel :
      nc -l 127.0.0.1 -p 9380
      
  • aca.scribe
    • Installation du paquet eole-sso-cluster-client
    • Définition du serveur SSO stunnel CreoleSet eolesso_stunnel_server eolebase.ac-test.fr
    • Copie du certificat stunnel server de l’eolebase
      scp root@eolebase.ac-test.fr:/etc/ssl/certs/stunnel_server.crt /etc/stunnel/eole/
      
    • Reconfiguration du serveur
  • aca.eolebase
    • Copier du certificat stunnel client du scribe
      scp root@scribe.ac-test.fr:/etc/ssl/certs/stunnel_client.crt /etc/stunnel/eole/
      
    • Exécution du posttemplate /usr/share/eole/posttemplate/30-eolesso-cluster
  • aca.scribe
    • Envoie d’un message par le stunnel :
      echo bidule | nc 127.0.0.1 9380
      

Le message doit apparaître sur la console de aca.eolebase.

#3 Updated by Joël Cuissinat about 1 year ago

  • Status changed from Nouveau to En cours

#4 Updated by Joël Cuissinat about 1 year ago

  • Status changed from En cours to Fermé
  • % Done changed from 0 to 100
  • Remaining (hours) set to 0.0

OK

Also available in: Atom PDF