Scénario #34549
Mis à jour par Joël Cuissinat il y a plus d'un an
* Scribe 2.7.2
Problème découvert au CD82 sur des Scribe installés depuis plus de deux ans : les certificats Samba expirés ont bien été re-générés MAIS ils n'ont pas été Ré-importés dans le keystore Java...
Dans *preservice/05-eolead*, l'import est effectué uniquement à la première instance, l'instance, il pourrait être systématiquement effectué au reconfigure (c'est le cas en 2.8).
* Scribe 2.8+
Nous nous étions bien aperçu que LSC n'était pas fonctionnel si l'adresse @addc.$REALM@ n'était pas dans le certificat (variable ssl_subjectaltname) mais à part la "Synchronisation LSC" qui est en rouge, rien ne permet de trouver le problème dans diagnose, bien au contraire...
<pre>
Certificat LDAPS :
. Certificat => Ok (Sep 2 09:15:17 2025 GMT)
</pre>
En bonus, si on souhaite re-générer le certificat avec la méthode "rapide" (@rm -f /etc/ssl/certs/eole.crt;reconfigure@), le script preservice/05-eolead affiche des erreurs qui pourraient être évitées :
<pre>
run-parts: executing /usr/share/eole/preservice/05-eolead reconfigure
Traceback (most recent call last):
File "/tmp/get_ca_root.py", line 3, in <module>
ca_root = get_certs_chain(["/etc/ssl/certs/eole.crt",])[-1]
...
</pre>
À vérifier dans quels cas, il faut le faire dans ce script lors d'un reconfigure puisque c'est également effectué dans *preservice/05-eolead*
Problème découvert au CD82 sur des Scribe installés depuis plus de deux ans : les certificats Samba expirés ont bien été re-générés MAIS ils n'ont pas été Ré-importés dans le keystore Java...
Dans *preservice/05-eolead*, l'import est effectué uniquement à la première instance, l'instance, il pourrait être systématiquement effectué au reconfigure (c'est le cas en 2.8).
* Scribe 2.8+
Nous nous étions bien aperçu que LSC n'était pas fonctionnel si l'adresse @addc.$REALM@ n'était pas dans le certificat (variable ssl_subjectaltname) mais à part la "Synchronisation LSC" qui est en rouge, rien ne permet de trouver le problème dans diagnose, bien au contraire...
<pre>
Certificat LDAPS :
. Certificat => Ok (Sep 2 09:15:17 2025 GMT)
</pre>
En bonus, si on souhaite re-générer le certificat avec la méthode "rapide" (@rm -f /etc/ssl/certs/eole.crt;reconfigure@), le script preservice/05-eolead affiche des erreurs qui pourraient être évitées :
<pre>
run-parts: executing /usr/share/eole/preservice/05-eolead reconfigure
Traceback (most recent call last):
File "/tmp/get_ca_root.py", line 3, in <module>
ca_root = get_certs_chain(["/etc/ssl/certs/eole.crt",])[-1]
...
</pre>
À vérifier dans quels cas, il faut le faire dans ce script lors d'un reconfigure puisque c'est également effectué dans *preservice/05-eolead*