Project

General

Profile

Tâche #30404

Scénario #25296: L’installation du SSO en mode cluster n’est pas fonctionnelle en 2.7

Problème SSL et d'architecture.

Added by Philippe Caseiro 7 days ago. Updated 5 days ago.

Status:
Nouveau
Priority:
Normal
Assigned To:
Start date:
06/03/2020
Due date:
% Done:

0%

Remaining (hours):

Description

Visiblement, il y a un problème avec les certificats SSL générés dans eole-sso pour le mode "cluster".

Si on désactive la vérficiation dans la configuration du serveur stunnel4 sur l'eolebase (serveur qui héberge le redis) le serveur SSO du scribe est fonctionnel.

Je propose de revoir complètement l'architecture de cette partie, c'est vraiment très difficile a comprendre et je pense que beaucoup de choses sont faites sans véritable raison, l'architecture devrait être extrèement simple, il devrait y avoir un paramètre pour permettre à EOLE-SSO d'utiliser un serveur redis pour stocker ses clés de session et "."
De manière indépendante on monte un cluster redis et ".", l'existence même des paquets eole-sso-cluster-server eole-sso-cluster-client eole-sso-cluster-common est inutile, eole-sso et eole-redis suffisent largement.

Associated revisions

Revision a0f837f1 (diff)
Added by Daniel Dehennin 5 days ago

stunnel: verification of peer certificate does not work

To verify only the peer certificate we need to set “verifyChain=no”
and “verifyPeer=yes”

  • cluster_client/tmpl/stunnel_redis_client.conf: set “verifyPeer” and
    “verifyChain”

Ref: #30404

Revision 23b2a4f3 (diff)
Added by Daniel Dehennin 5 days ago

Fix unsupported option for Bionic

Ref: #30404

Revision 383ae7ab (diff)
Added by Daniel Dehennin 4 days ago

stunnel: enable the service

Ref: #30404

History

#1 Updated by Philippe Caseiro 7 days ago

  • Subject changed from Problème SSL to Problème SSL et d'architecture.
  • Description updated (diff)
  • Assigned To set to Joël Cuissinat

#2 Updated by Daniel Dehennin 5 days ago

Test du SSL :

  • aca.eolebase
    • Installation du paquet eole-sso-cluster-server
    • Reconfigurer le serveur
    • Arrêt du service redis pour tester le SSL (il y en a étrangement plusieurs qui tournent)
      systemctl stop redis.service redis-server.service redis2-server.service redis-eolesso.service
      
    • Écouter sur la sortie du stunnel :
      nc -l 127.0.0.1 -p 9380
      
  • aca.scribe
    • Installation du paquet eole-sso-cluster-client
    • Définition du serveur SSO stunnel CreoleSet eolesso_stunnel_server eolebase.ac-test.fr
    • Copie du certificat stunnel server de l’eolebase
      scp root@eolebase.ac-test.fr:/etc/ssl/certs/stunnel_server.crt /etc/stunnel/eole/
      
    • Reconfiguration du serveur
  • aca.eolebase
    • Copier du certificat stunnel client du scribe
      scp root@scribe.ac-test.fr:/etc/ssl/certs/stunnel_client.crt /etc/stunnel/eole/
      
    • Exécution du posttemplate /usr/share/eole/posttemplate/30-eolesso-cluster
  • aca.scribe
    • Envoie d’un message par le stunnel :
      echo bidule | nc 127.0.0.1 9380
      

Le message doit apparaître sur la console de aca.eolebase.

Also available in: Atom PDF