Accéder au contenu.
Menu Sympa

fr - [sympa-fr] Authentification LDAPS sur Sympa 6.1.23

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

[sympa-fr] Authentification LDAPS sur Sympa 6.1.23

Chronologique Discussions  
    < Chronologique >       < Discussions >
  • From: Francis HULIN-HUBARD <adresse@cachée>
  • To: adresse@cachée
  • Cc: Francis HULIN-HUBARD <adresse@cachée>
  • Subject: [sympa-fr] Authentification LDAPS sur Sympa 6.1.23
  • Date: Wed, 13 Jul 2016 15:18:49 +0200
Bonjour,

Je rencontre quelques difficultés à utiliser ldaps (openldap) pour
l'authentification des utilisateurs sur sympa (package Debian Jessie,
sympa 6.1.23, apache : 2.4.10, libapache2-mod-fcgid : 1:2.3.9-1, mysql
server : 5.5.49-0)

L'installation du serveur est minimale et la machine est vierge.

Seule option modifiée dans /etc/sympa/wwsympa.conf : use_fast_cgi passée
à 1 (sinon, configuration d'origine, ça ne fonctionne pas) :

~~~ /etc/sympa/wwsympa.conf
...
use_fast_cgi 1
...
~~~

J'utilise un fichier /etc/auth.conf du type :

~~~ /etc/auth.conf
# Using LDAP auth

ldap
regexp .*
host srvldap1.domain.tld:636,srvldap2.domain.tld:636
timeout 10
suffix dc=domain,dc=tld
get_dn_by_uid_filter (uid=[sender])
get_dn_by_email_filter (|(mail=[sender])(mailLocalAddress=[sender]))
email_attribute mail
alternative_email_attribute mailLocalAddress
scope sub
use_ssl 1
ssl_version sslv3
ssl_ciphers MEDIUM:HIGH
~~~

mailLocalAddress est multi-valué


Une requête sur l'annuaire en utilisant le filtre fonctionne pourtant :

~~~ bash
$ adresse@cachée ldapsearch -H ldaps://srvldap1.domain.tld -b
dc=domain,dc=tld -LLLx
"(|(mail=$sender)(mailLocalAddress=$sender)(uid=$sender))" dn
dn: uid=fhh,ou=users,dc=domain,dc=tld
~~~

Dans les logs, je vois la requête échouer (timestamps retirés) :

~~~ /var/log/sympa.log
wwsympa[961]: err LDAPSource::connect() Unable to connect to the LDAP
server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
wwsympa[961]: err LDAPSource::connect() Unable to connect to the LDAP
server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
wwsympa[961]: err Auth::ldap_authentication() Unable to connect to the
LDAP server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
wwsympa[961]: err Auth::ldap_authentication() Unable to connect to the
LDAP server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
wwsympa[961]: err Auth::authentication() authentication: incorrect
password for user adresse@cachée
wwsympa[961]: err Auth::authentication() authentication: incorrect
password for user adresse@cachée
wwsympa[961]: notice main::do_login() Authentication failed
wwsympa[961]: notice main::do_login() Authentication failed
wwsympa[961]: info [robot lists.domain.tld] [session 00785802168000]
[client 10.10.10.10] main::do_renewpasswd() do_renewpasswd(adresse@cachée)
wwsympa[961]: info [robot lists.domain.tld] [session 00785802168000]
[client 10.10.10.10] main::do_renewpasswd() do_renewpasswd(adresse@cachée)
wwsympa[975]: err LDAPSource::connect() Unable to connect to the LDAP
server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
wwsympa[975]: err LDAPSource::connect() Unable to connect to the LDAP
server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
wwsympa[975]: err main::is_ldap_user() Unable to connect to the LDAP
server ''
wwsympa[975]: err main::is_ldap_user() Unable to connect to the LDAP
server ''
wwsympa[975]: info [robot lists.domain.tld] [session 60205358173663]
[client 10.10.10.10] main::do_login() do_login: missing parameter passwd
wwsympa[975]: info [robot lists.domain.tld] [session 60205358173663]
[client 10.10.10.10] main::do_login() do_login: missing parameter passwd
wwsympa[975]: info [robot lists.domain.tld] [session 60205358173663]
[client 10.10.10.10] main::do_renewpasswd() do_renewpasswd(fhh)
wwsympa[975]: info [robot lists.domain.tld] [session 60205358173663]
[client 10.10.10.10] main::do_renewpasswd() do_renewpasswd(fhh)
~~~

et le cgi termine par une Erreur 500 avec des erreurs dans les logs
d'apache (timestamps retirés):

~~~ /var/log/apache2/error.log
[fcgid:warn] [pid 294:tid 139702935324544] mod_fcgid: process 980
graceful kill fail, sending SIGKILL
...
[fcgid:error] [pid 294:tid 139702935324544] mod_fcgid: process
/usr/lib/cgi-bin/sympa/wwsympa-wrapper.fcgi(961) exit(communication
error), get unexpected signal 13
...
~~~

Auriez-vous une idée de ce qui pêche ?

Bien cordialement,

FHH

--
___________________________________________________________________
Francis HULIN-HUBARD
~ Laboratoire Spécification et Vérification
~ CNRS & ENS de Cachan
~ 61, avenue du Président Wilson
~ 94235 CACHAN Cedex
Bureau RH-B-006
Tel : +33 (0)1 47 40 75 75
___________________________________________________________________
EF9890A1 - pgp.mit.edu

Attachment: signature.asc
Description: OpenPGP digital signature


Archives gérées par MHonArc 2.6.19+.

Haut de le page