Project

General

Profile

Scénario #31635

Updated by Joël Cuissinat 4 months ago

h3. Problèmes

h4. Seth

Sur un *@aca.dc1-2.8.0-instance-avecImport@*, exécuter la commande suivante :

<pre>
ldapsearch -H ldaps://localhost -b dc=domseth,dc=ac-test,dc=fr -DCN=admin,CN=Users,DC=domseth,DC=ac-test,DC=fr -W
</pre>

Après avoir saisi le mot de passe, cela renvoie les messages suivants :

<pre>
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
root@dc1:~# ldapsearch -d1 -H ldaps://localhost -b dc=domseth,dc=ac-test,dc=fr -DCN=admin,CN=Users,DC=domseth,DC=ac-test,DC=fr -W
ldap_url_parse_ext(ldaps://localhost)
ldap_create
ldap_url_parse_ext(ldaps://localhost:636/??base)
Enter LDAP Password:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP localhost:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 127.0.0.1:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: peer cert untrusted or revoked (0x42)
TLS: can't connect: (unknown error code).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
</pre>

La configuration LDAP est vierge :

<pre>
root@dc1:~# cat /etc/ldap/ldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never

# TLS certificates (needed for GnuTLS)
TLS_CACERT /etc/ssl/certs/ca-certificates.crt
</pre>

h4. Scribe

Nous avons un problème équivalent sur Scribe :

<pre>
root@scribe:~# ldapsearch -d1 -x -H ldaps://addc.domscribe.ac-test.fr
ldap_url_parse_ext(ldaps://addc.domscribe.ac-test.fr)
ldap_create
ldap_url_parse_ext(ldaps://addc.domscribe.ac-test.fr:636/??base)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP addc.domscribe.ac-test.fr:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 192.0.2.2:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: peer cert untrusted or revoked (0x42)
TLS: can't connect: (unknown error code).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
</pre>

Avec une configuration LDAP non adaptée :

<pre>
root@scribe:~# cat /etc/ldap/ldap.conf

# cas Amon sans AmonEcole

host 127.0.0.1
base o=gouv,c=fr
port 389
timelimit 10
bind_time_limit 10
bind_policy soft
ldap_version 3
scope sub
pam_login_attribute uid
pam_password md5
nss_map_attribute gecos displayName
nss_base_passwd o=gouv,c=fr?sub
nss_base_group o=gouv,c=fr?sub
#fixe #1809
nss_initgroups_ignoreusers root
ssl off
</pre>

h3. Proposition

* À faire pour *EOLE >= 2.8.0*
*
Lorsque les certificats sont en mode *@autosigné@*, il faut intégrer l’autorité de certification locale à *@ca-certificates@*
* La configuration LDAP devrait toujours inclure *@TLS_CACERT /etc/ssl/certs/ca-certificates.crt@*

h3. Critères d'acceptations

h4. Scribe

Sur *@aca.scribe-2.8.0-instance-AvecImport@*:

* La commande *@ldapsearch -LLL -o ldif-wrap=no -x cn=professeurs dn@* doit affichier le résultat suivant, sans poser de question :
<pre>
dn: cn=professeurs,ou=local,ou=groupes,ou=0000000A,ou=ac-test,ou=education,o=gouv,c=fr
</pre>
* La commande *@ldapsearch -LLL -o ldif-wrap=no -b dc=domscribe,dc=ac-test,dc=fr -x -H ldaps://addc.domscribe.ac-test.fr -Dcn=admin,cn=Users,dc=domscribe,dc=ac-test,dc=fr -W cn=professeurs dn@* doit affichier le résultat suivant, en ne demandant que le mot de passe de l'utilisateur *@admin@* :
<pre>
dn: CN=professeurs,CN=Users,DC=domscribe,DC=ac-test,DC=fr

# refldaps://domscribe.ac-test.fr/CN=Configuration,DC=domscribe,DC=ac-test,DC=fr

# refldaps://domscribe.ac-test.fr/DC=DomainDnsZones,DC=domscribe,DC=ac-test,DC=fr

# refldaps://domscribe.ac-test.fr/DC=ForestDnsZones,DC=domscribe,DC=ac-test,DC=fr
</pre>

h4. Seth

Sur *@aca.dc1-2.8.0-instanceAvecImport@*

* La commande *@ldapsearch -LLL -o ldif-wrap=no -b dc=domseth,dc=ac-test,dc=fr -x -H ldaps://dc1.domseth.ac-test.fr -Dcn=admin,cn=Users,dc=domseth,dc=ac-test,dc=fr -W cn=professeurs dn@* doit affichier le résultat suivant, en ne demandant que le mot de passe de l'utilisateur *@admin@* :
<pre>
dn: CN=professeurs,CN=Users,DC=domscribe,DC=ac-test,DC=fr

# refldaps://domscribe.ac-test.fr/CN=Configuration,DC=domscribe,DC=ac-test,DC=fr

# refldaps://domscribe.ac-test.fr/DC=DomainDnsZones,DC=domscribe,DC=ac-test,DC=fr

# refldaps://domscribe.ac-test.fr/DC=ForestDnsZones,DC=domscribe,DC=ac-test,DC=fr
</pre>

Back