Tâche #30404
Scénario #25296: L’installation du SSO en mode cluster n’est pas fonctionnelle en 2.7
Problème SSL et d'architecture.
100%
Description
Visiblement, il y a un problème avec les certificats SSL générés dans eole-sso pour le mode "cluster".
Si on désactive la vérficiation dans la configuration du serveur stunnel4 sur l'eolebase (serveur qui héberge le redis) le serveur SSO du scribe est fonctionnel.
Je propose de revoir complètement l'architecture de cette partie, c'est vraiment très difficile a comprendre et je pense que beaucoup de choses sont faites sans véritable raison, l'architecture devrait être extrèement simple, il devrait y avoir un paramètre pour permettre à EOLE-SSO d'utiliser un serveur redis pour stocker ses clés de session et "."
De manière indépendante on monte un cluster redis et ".", l'existence même des paquets eole-sso-cluster-server eole-sso-cluster-client eole-sso-cluster-common est inutile, eole-sso et eole-redis suffisent largement.
Révisions associées
stunnel: verification of peer certificate does not work
To verify only the peer certificate we need to set “verifyChain=no”
and “verifyPeer=yes”
- cluster_client/tmpl/stunnel_redis_client.conf: set “verifyPeer” and
“verifyChain”
Ref: #30404
Fix unsupported option for Bionic
Ref: #30404
stunnel: enable the service
Ref: #30404
"stunnel_opts" variable is not available in eole-sso-cluster-client
Ref: #30404
Historique
#1 Mis à jour par Philippe Caseiro il y a plus de 3 ans
- Sujet changé de Problème SSL à Problème SSL et d'architecture.
- Description mis à jour (diff)
- Assigné à mis à Joël Cuissinat
#2 Mis à jour par Daniel Dehennin il y a plus de 3 ans
Test du SSL :
aca.eolebase
- Installation du paquet
eole-sso-cluster-server
- Reconfigurer le serveur
- Arrêt du service
redis
pour tester le SSL (il y en a étrangement plusieurs qui tournent)systemctl stop redis.service redis-server.service redis2-server.service redis-eolesso.service
- Écouter sur la sortie du stunnel :
nc -l 127.0.0.1 -p 9380
- Installation du paquet
aca.scribe
- Installation du paquet
eole-sso-cluster-client
- Définition du serveur SSO stunnel
CreoleSet eolesso_stunnel_server eolebase.ac-test.fr
- Copie du certificat stunnel server de l’eolebase
scp root@eolebase.ac-test.fr:/etc/ssl/certs/stunnel_server.crt /etc/stunnel/eole/
- Reconfiguration du serveur
- Installation du paquet
aca.eolebase
- Copier du certificat stunnel client du scribe
scp root@scribe.ac-test.fr:/etc/ssl/certs/stunnel_client.crt /etc/stunnel/eole/
- Exécution du posttemplate
/usr/share/eole/posttemplate/30-eolesso-cluster
- Copier du certificat stunnel client du scribe
aca.scribe
- Envoie d’un message par le stunnel :
echo bidule | nc 127.0.0.1 9380
- Envoie d’un message par le stunnel :
Le message doit apparaître sur la console de aca.eolebase
.
#3 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Statut changé de Nouveau à En cours
#4 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Statut changé de En cours à Fermé
- % réalisé changé de 0 à 100
- Restant à faire (heures) mis à 0.0
OK