Projet

Général

Profil

Demande #36086

pam_ldap échoue lorsqu'utilisé par exim

Ajouté par Benjamin Bohard il y a plus d'un an. Mis à jour il y a plus d'un an.

Statut:
Nouveau
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
Début:
10/07/2024
Echéance:
% réalisé:

0%

Description

Sur le module Scribe, lors de la tentative d’envoi de courriels depuis roundcube, le profil /etc/pam.d/exim est utilisé pour une opération d’authentification.
Ce profil déclare les modules pam_ldap et pam_cas comme suffisants.
Le module pam_ldap semble ne pas parvenir à authentifier l’émetteur du courriel :
Séquence lors d’un échec d’envoi :

juil. 10 15:08:28 scribe eolesso[1854]: 2024-07-10T13:08:28+0000 [HTTPChannel (TLSProtocolWrapper),205,10.88.0.1] TGC-etb1ac-testfr-71a38ecb83b338807c9d0f306ea4dd001230abfee123cb8fb1020b38 -- ticket proxy délivré pour  imap://10.1.3.5
juil. 10 15:08:28 scribe eolesso[1854]: 2024-07-10T13:08:28+0000 [HTTPChannel (TLSProtocolWrapper),206,10.88.0.1] TGC-etb1ac-testfr-71a38ecb83b338807c9d0f306ea4dd001230abfee123cb8fb1020b38 -- ticket proxy délivré pour  smtp://10.1.3.5
juil. 10 15:08:28 scribe saslauthd[1498]: Authentication failed for admin@dompedago.etb1.lan/dompedago.etb1.lan: Bind to ldap server failed (invalid user/password or insufficient access) (-7)
juil. 10 15:08:28 scribe saslauthd[1498]:                 : auth failure: [user=admin@dompedago.etb1.lan] [service=ldap] [realm=dompedago.etb1.lan] [mech=ldap] [reason=Unknown]
juil. 10 15:08:28 scribe exim4[25733]: pam_ldap: error trying to bind as user "uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=00000001,ou=ac-test,ou=education,o=gouv,c=fr" (Invalid credentials)
juil. 10 15:08:28 scribe exim[25733]: 2024-07-10 15:08:28 H=scribe.dompedago.etb1.lan (etb1.ac-test.fr) [10.1.3.5] X=TLS1.3:ECDHE_X25519__RSA_PSS_RSAE_SHA256__AES_256_GCM:256 CV=no F=<admin@etb1.ac-test.fr> A=login:admin rejected RCPT <professeurs@i-etb1.ac-test.fr>
juil. 10 15:08:28 scribe exim[25733]: 2024-07-10 15:08:28 H=scribe.dompedago.etb1.lan (etb1.ac-test.fr) [10.1.3.5] X=TLS1.3:ECDHE_X25519__RSA_PSS_RSAE_SHA256__AES_256_GCM:256 CV=no F=<admin@etb1.ac-test.fr> A=login:admin rejected RCPT <professeurs@i-etb1.ac-test.fr>

Séquence lors d’une réussite :

juil. 10 15:09:39 scribe eolesso[1854]: 2024-07-10T13:09:39+0000 [HTTPChannel (TLSProtocolWrapper),209,10.88.0.1] TGC-etb1ac-testfr-71a38ecb83b338807c9d0f306ea4dd001230abfee123cb8fb1020b38 -- ticket proxy délivré pour  imap://10.1.3.5
juil. 10 15:09:39 scribe eolesso[1854]: 2024-07-10T13:09:39+0000 [HTTPChannel (TLSProtocolWrapper),210,10.88.0.1] TGC-etb1ac-testfr-71a38ecb83b338807c9d0f306ea4dd001230abfee123cb8fb1020b38 -- ticket proxy délivré pour  smtp://10.1.3.5
juil. 10 15:09:39 scribe saslauthd[1500]: Authentication failed for admin@dompedago.etb1.lan/dompedago.etb1.lan: Bind to ldap server failed (invalid user/password or insufficient access) (-7)
juil. 10 15:09:39 scribe saslauthd[1500]:                 : auth failure: [user=admin@dompedago.etb1.lan] [service=ldap] [realm=dompedago.etb1.lan] [mech=ldap] [reason=Unknown]
juil. 10 15:09:39 scribe exim4[25861]: pam_ldap: error trying to bind as user "uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=00000001,ou=ac-test,ou=education,o=gouv,c=fr" (Invalid credentials)
juil. 10 15:09:39 scribe exim[25861]: 2024-07-10 15:09:39 1sRX4l-0006j7-Mt <= admin@etb1.ac-test.fr H=scribe.dompedago.etb1.lan (etb1.ac-test.fr) [10.1.3.5] P=esmtpsa X=TLS1.3:ECDHE_X25519__RSA_PSS_RSAE_SHA256__AES_256_GCM:256 CV=no A=login:admin S=648 id=2c2aa0c9e41b6d31241edd082e5d2ff7@etb1.ac-test.fr
juil. 10 15:09:39 scribe exim[25862]: 2024-07-10 15:09:39 1sRX4l-0006j7-Mt => /home/mail/4a.02/ <4a.02@i-etb1.ac-test.fr> R=ldap_route T=directory_ldap
juil. 10 15:09:39 scribe exim[25862]: 2024-07-10 15:09:39 1sRX4l-0006j7-Mt Completed
juil. 10 15:09:39 scribe imapd[941]: Connection, ip=[::ffff:10.1.3.5], port=[55890]
juil. 10 15:09:39 scribe courier-cas[25865]: 'Debut'
juil. 10 15:09:39 scribe courier-cas[25865]: '# Authentification'
juil. 10 15:09:39 scribe courier-cas[25865]: '  + '\''service : imap user : admin password : PT-etb1ac-testfr-8d7f2bb0d584787c4be9cad484fe7036656d8b98f08'\'''
juil. 10 15:09:39 scribe courier-cas[25865]: '  + Il y a un ticket valide dans la base de données'
juil. 10 15:09:39 scribe courier-cas[25865]: '  + validateCAS = 1'
juil. 10 15:09:40 scribe imapd[941]: LOGIN, user=admin@etb1.ac-test.fr, ip=[::ffff:10.1.3.5], port=[55890], protocol=IMAP
juil. 10 15:09:40 scribe imapd[941]: LOGOUT, user=admin@etb1.ac-test.fr, ip=[::ffff:10.1.3.5], port=[55890], headers=0, body=0, rcvd=466, sent=279, time=1
juil. 10 15:09:40 scribe eolesso[1854]: 2024-07-10T13:09:40+0000 [HTTPChannel (TLSProtocolWrapper),208,10.88.0.1] TGC-etb1ac-testfr-71a38ecb83b338807c9d0f306ea4dd001230abfee123cb8fb1020b38 -- ticket proxy délivré pour  imap://10.1.3.5
juil. 10 15:09:40 scribe imapd[941]: Connection, ip=[::ffff:10.1.3.5], port=[55894]
juil. 10 15:09:40 scribe courier-cas[25870]: 'Debut'
juil. 10 15:09:40 scribe courier-cas[25870]: '# Authentification'
juil. 10 15:09:40 scribe courier-cas[25870]: '  + '\''service : imap user : admin password : PT-etb1ac-testfr-8d7f2bb0d584787c4be9cad484fe7036656d8b98f08'\'''
juil. 10 15:09:40 scribe courier-cas[25870]: '  + Il y a un ticket valide dans la base de données'
juil. 10 15:09:40 scribe courier-cas[25870]: '  + validateCAS = 1'
juil. 10 15:09:40 scribe imapd[941]: LOGIN, user=admin@etb1.ac-test.fr, ip=[::ffff:10.1.3.5], port=[55894], protocol=IMAP
juil. 10 15:09:40 scribe imapd[941]: LOGOUT, user=admin@etb1.ac-test.fr, ip=[::ffff:10.1.3.5], port=[55894], headers=0, body=0, rcvd=78, sent=387, time=0

Dans ce dernier cas, le module pam_cas a pris le relai. Le module pam_ldap renvoie une erreur dans les deux cas.

Demandes liées

Lié à Distribution EOLE - Scénario #35726: Scribe 2.9 : Erreur de serveur (Internal Server Error) Terminé (Sprint) 01/10/2022 01/01/2026

Historique

#1 Mis à jour par Joël Cuissinat il y a plus d'un an

confirmé lors de la validation de #35726, logs visibles dans les fichiers suivants :
  • /var/log/rsyslog/local/auth/auth.debug.log
  • /var/log/rsyslog/local/saslauthd/saslauthd.debug.log

En 2.8.1, on peut également voir passer ces lignes :

2024-07-17T17:22:23.532695+02:00 scribe.dompedago.etb1.lan exim4[4131]: pam_ldap: error trying to bind as user "uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=00000001,ou=ac-test,ou=education,o=gouv,c=fr" (Invalid credentials)
cccc
2024-07-17T17:24:31.681024+02:00 scribe.dompedago.etb1.lan exim4[4537]: pam_ldap: error trying to bind as user "uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=00000001,ou=ac-test,ou=education,o=gouv,c=fr" (Invalid credentials)

Pour moi c'est pas forcément anormal parce que si la demande vient d'un client lourd type Thunderbird, il faut bien passer en mode LDAP...

#2 Mis à jour par Joël Cuissinat il y a plus d'un an

  • Lié à Scénario #35726: Scribe 2.9 : Erreur de serveur (Internal Server Error) ajouté

Formats disponibles : Atom PDF