Project

General

Profile

Tâche #31548

Scénario #31590: Validation des scénario 'cadoles' (05-07)

Valider le scénario Valider le fonctionnement de Let's Encrypt sur AmonEcole 2.8.1 (sprint 02-04)

Added by Joël Cuissinat over 3 years ago. Updated over 3 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
01/14/2021
Due date:
% Done:

100%

Remaining (hours):
0.0

amonecole-2.8.1-lets-encrypt-lab1.eol (3.65 KB) Daniel Dehennin, 02/23/2021 02:34 PM


Related issues

Related to Distribution EOLE - Scénario #31521: Valider le fonctionnement de Let's Encrypt sur AmonEcole 2.8.1 Terminé (Sprint) 05/03/2018 01/29/2021
Related to Distribution EOLE - Tâche #31722: Gestion DNS avec les modules EOLE Fermé 02/19/2021
Related to Distribution EOLE - Tâche #31673: Attente de fermeture des demandes let's encrypt Fermé 03/09/2021

Associated revisions

Revision a9d57a9b (diff)
Added by Emmanuel GARETTE over 3 years ago

utiliser les certificats samba en cas d'utilisation de let's encrypt (ref #31548)

History

#1 Updated by Joël Cuissinat over 3 years ago

  • Related to Scénario #31521: Valider le fonctionnement de Let's Encrypt sur AmonEcole 2.8.1 added

#2 Updated by Daniel Dehennin over 3 years ago

  • Status changed from Nouveau to En cours

#3 Updated by Daniel Dehennin over 3 years ago

  • Assigned To set to Daniel Dehennin

#4 Updated by Daniel Dehennin over 3 years ago

  • Related to Tâche #31722: Gestion DNS avec les modules EOLE added

#5 Updated by Daniel Dehennin over 3 years ago

Test

  • modèle de VM ⮕ etb3.amonecole-2.8.1-daily
  • réseau 1 ⮕ labs.eole.education, la machine obtient d’OpenNebula l’adresse IP associée à lab1.labs.eole.education
  • réseau 2 ⮕ pedago3
  • nom_domaine_localdompedago.lab1.labs.eole.education
  • web_urllab1.labs.eole.education

Lors de l’instance j’ai plusieurs erreurs :

  • Une erreur directement liée à Let's Encrypt, le postservice semble ne pas supporter la non activation de certaines variables :
    run-parts: executing /usr/share/eole/postservice/00-letsencrypt instance
    root - Erreur creole 1 : ne peut accéder à l'option "Nom de domaine ou IP à rediriger" a cause de la propriété disabled (la valeur de "Activer le reverse proxy Nginx pour http/https" est "non")
    root - Erreur creole 1 : ne peut accéder à option "Activer la redirection pour tous les sous-domaines" parce que "Nom de domaine ou IP à rediriger" a de la propriété disabled (la valeur de "Activer le reverse proxy Nginx pour http/https" est "non")
      - Demande de certificat pour amonecole.dompedago.lab1.labs.eole.education lab1.labs.eole.educationFailed to stop apache2.service: Unit apache2.service not loaded.
     [OK]
    run-parts: executing /usr/share/eole/letsencrypt/hooks-post.d/00-copy full
    run-parts: executing /usr/share/eole/letsencrypt/hooks-post.d/99-restart full
    
  • mais cela ne semble pas avoir impacter la génération d’un certificat pour les deux noms nom_domaine_machine et web_url
    root@amonecole:~# openssl x509 -in /etc/ssl/letsencrypt/conf/live/amonecole.dompedago.lab1.labs.eole.education/cert.pem -noout -subject -ext subjectAltName
    subject=CN = amonecole.dompedago.lab1.labs.eole.education
    X509v3 Subject Alternative Name: 
        DNS:amonecole.dompedago.lab1.labs.eole.education, DNS:lab1.labs.eole.education
    
  • Le test de connection kerberos/AD échoue :
    Test connection kerberos/AD
    kinit: Cannot contact any KDC for realm 'DOMPEDAGO.LAB1.LABS.EOLE.EDUCATION' while getting initial credentials
    Connection kerberos/AD impossible
    
  • La modification des schémas échoue
    run-parts: executing /usr/share/eole/postservice/26-ad_schema instance
    Modified 136 records successfully
    Modified 68 records successfully
    Modified 14 records successfully
    Modified 128 records successfully
    Modified 234 records successfully
    Added 24 records successfully
    Modified 1 records successfully
    Ajout du compte de jonction au domaine 'eole-seth-education'... 
    User 'eole-seth-education' created successfully
    Mise en conformité de l’utilisateur 'eole-seth-education'... 
    Expiry for user 'eole-seth-education' disabled.
    Added members to group Domain Admins
    Changed password OK
    Erreur : {'desc': "Can't contact LDAP server", 'errno': 107, 'info': 'Transport endpoint is not connected'}
    run-parts: /usr/share/eole/postservice/26-ad_schema exited with return code 1
    Erreur : postservice
    

Au final, l’instance ne va pas au bout.

#6 Updated by Daniel Dehennin over 3 years ago

  • Related to Tâche #31673: Attente de fermeture des demandes let's encrypt added

#7 Updated by Joël Cuissinat over 3 years ago

  • Subject changed from Valider le scénario Valider le fonctionnement de Let's Encrypt sur AmonEcole 2.8.1 to Valider le scénario Valider le fonctionnement de Let's Encrypt sur AmonEcole 2.8.1 (sprint 02-04)

#8 Updated by Joël Cuissinat over 3 years ago

  • Parent task changed from #31494 to #31590

#9 Updated by Emmanuel GARETTE over 3 years ago

Le certificat n'est pas copié dans le cas de let's encrypt : #24151

Dans ce cas, samba ne peut pas démarrer.

#10 Updated by Daniel Dehennin over 3 years ago

Avec les dernières mises à jour :

  • instance réussie
  • connexion à EAD2 depuis mon poste OK avec certificat Let's Encrypt
  • connexion à roundcube depuis mon poste OK avec certificat Let's Encrypt
  • intégration d’un poste client windows 10 OK
  • le certificat samba est celui auto-généré par samba lui-même
    root@amonecole:~# openssl s_client -host addc.dompedago.lab1.labs.eole.education -port 636
    CONNECTED(00000003)
    depth=0 O = Samba Administration, OU = Samba - temporary autogenerated HOST certificate, CN = ADDC.dompedago.lab1.labs.eole.education
    verify error:num=20:unable to get local issuer certificate
    verify return:1
    depth=0 O = Samba Administration, OU = Samba - temporary autogenerated HOST certificate, CN = ADDC.dompedago.lab1.labs.eole.education
    verify error:num=21:unable to verify the first certificate
    verify return:1
    ---
    Certificate chain
     0 s:O = Samba Administration, OU = Samba - temporary autogenerated HOST certificate, CN = ADDC.dompedago.lab1.labs.eole.education
       i:O = Samba Administration, OU = Samba - temporary autogenerated CA certificate, CN = ADDC.dompedago.lab1.labs.eole.education
    ---
    […]
    

#11 Updated by Daniel Dehennin over 3 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 0 to 100

#12 Updated by Daniel Dehennin over 3 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF