Projet

Général

Profil

Tâche #30404

Scénario #25296: L’installation du SSO en mode cluster n’est pas fonctionnelle en 2.7

Problème SSL et d'architecture.

Ajouté par Philippe Caseiro il y a plus de 3 ans. Mis à jour il y a plus de 3 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Début:
03/06/2020
Echéance:
% réalisé:

100%

Restant à faire (heures):
0.0

Description

Visiblement, il y a un problème avec les certificats SSL générés dans eole-sso pour le mode "cluster".

Si on désactive la vérficiation dans la configuration du serveur stunnel4 sur l'eolebase (serveur qui héberge le redis) le serveur SSO du scribe est fonctionnel.

Je propose de revoir complètement l'architecture de cette partie, c'est vraiment très difficile a comprendre et je pense que beaucoup de choses sont faites sans véritable raison, l'architecture devrait être extrèement simple, il devrait y avoir un paramètre pour permettre à EOLE-SSO d'utiliser un serveur redis pour stocker ses clés de session et "."
De manière indépendante on monte un cluster redis et ".", l'existence même des paquets eole-sso-cluster-server eole-sso-cluster-client eole-sso-cluster-common est inutile, eole-sso et eole-redis suffisent largement.

Révisions associées

Révision a0f837f1 (diff)
Ajouté par Daniel Dehennin il y a plus de 3 ans

stunnel: verification of peer certificate does not work

To verify only the peer certificate we need to set “verifyChain=no”
and “verifyPeer=yes”

  • cluster_client/tmpl/stunnel_redis_client.conf: set “verifyPeer” and
    “verifyChain”

Ref: #30404

Révision 23b2a4f3 (diff)
Ajouté par Daniel Dehennin il y a plus de 3 ans

Fix unsupported option for Bionic

Ref: #30404

Révision 383ae7ab (diff)
Ajouté par Daniel Dehennin il y a plus de 3 ans

stunnel: enable the service

Ref: #30404

Révision 56458cb6 (diff)
Ajouté par Joël Cuissinat il y a plus de 3 ans

"stunnel_opts" variable is not available in eole-sso-cluster-client

Ref: #30404

Historique

#1 Mis à jour par Philippe Caseiro il y a plus de 3 ans

  • Sujet changé de Problème SSL à Problème SSL et d'architecture.
  • Description mis à jour (diff)
  • Assigné à mis à Joël Cuissinat

#2 Mis à jour par Daniel Dehennin il y a plus de 3 ans

Test du SSL :

  • aca.eolebase
    • Installation du paquet eole-sso-cluster-server
    • Reconfigurer le serveur
    • Arrêt du service redis pour tester le SSL (il y en a étrangement plusieurs qui tournent)
      systemctl stop redis.service redis-server.service redis2-server.service redis-eolesso.service
      
    • Écouter sur la sortie du stunnel :
      nc -l 127.0.0.1 -p 9380
      
  • aca.scribe
    • Installation du paquet eole-sso-cluster-client
    • Définition du serveur SSO stunnel CreoleSet eolesso_stunnel_server eolebase.ac-test.fr
    • Copie du certificat stunnel server de l’eolebase
      scp root@eolebase.ac-test.fr:/etc/ssl/certs/stunnel_server.crt /etc/stunnel/eole/
      
    • Reconfiguration du serveur
  • aca.eolebase
    • Copier du certificat stunnel client du scribe
      scp root@scribe.ac-test.fr:/etc/ssl/certs/stunnel_client.crt /etc/stunnel/eole/
      
    • Exécution du posttemplate /usr/share/eole/posttemplate/30-eolesso-cluster
  • aca.scribe
    • Envoie d’un message par le stunnel :
      echo bidule | nc 127.0.0.1 9380
      

Le message doit apparaître sur la console de aca.eolebase.

#3 Mis à jour par Joël Cuissinat il y a plus de 3 ans

  • Statut changé de Nouveau à En cours

#4 Mis à jour par Joël Cuissinat il y a plus de 3 ans

  • Statut changé de En cours à Fermé
  • % réalisé changé de 0 à 100
  • Restant à faire (heures) mis à 0.0

OK

Formats disponibles : Atom PDF