Re: [sympa-fr] Authentification LDAPS sur Sympa 6.1.23

[Francis HULIN-HUBARD <adresse@cachée>]

Après les modifications de /etc/sympa/auth.conf et un "systemctl restart
sympa", l'authentification ne fonctionnait toujours pas.

Pour une raison quelconque, j'ai re démarré la VM sur laquelle
j'effectue les tests et hooo bonheur, tout est rentré dans l'ordre... Je
ne suis pas sûr d'avoir compris exactement pourquoi, mais ça marche.
J'ai juste observé après plusieurs essais que le service ne redémarrait
pas complètement, peut être que la cause est juste là.

J'ai également une erreur 500 lorsque je clique sur le bouton "RSS news"
de l'interface. Les logs donnent pour sympa.log :

info [robot lists.domain.tld] [session 02790231633703] [client
10.10.10.10] main::do_rss_request() do_rss_request
info [robot lists.domain.tld] [session 02790231633703] [client
10.10.10.10] main::do_rss_request() do_rss_request

et pour apache :

[fcgid:warn] [pid 296:tid 140664557770496] [client 10.10.10.10:42208]
mod_fcgid: stderr: Can't call method "check_list_authz" on an undefined
value at /usr/lib/cgi-bin/sympa/wwsympa.fcgi line 16739., referer:
http://lists.domain.tld/wws
[core:error] [pid 296:tid 140664557770496] [client 10.10.10.10:42208]
End of script output before headers: wwsympa-wrapper.fcgi, referer:
http://lists.domain.tld/wws
[fcgid:warn] [pid 294:tid 140664803932032] mod_fcgid: cleanup zombie
process 1002

Peut-être est-ce dû au fait que le système n'héberge pas encore de liste
et qu'il est encore vide.

FHH


On 07/13/2016 03:18 PM, Francis HULIN-HUBARD wrote:
> Bonjour,
> 
> Je rencontre quelques difficultés à utiliser ldaps (openldap) pour
> l'authentification des utilisateurs sur sympa (package Debian Jessie,
> sympa 6.1.23, apache : 2.4.10, libapache2-mod-fcgid : 1:2.3.9-1, mysql
> server :  5.5.49-0)
> 
> L'installation du serveur est minimale et la machine est vierge.
> 
> Seule option modifiée dans /etc/sympa/wwsympa.conf : use_fast_cgi passée
> à 1 (sinon, configuration d'origine, ça ne fonctionne pas) :
> 
> ~~~ /etc/sympa/wwsympa.conf
> ...
> use_fast_cgi    1
> ...
> ~~~
> 
> J'utilise un fichier /etc/auth.conf du type :
> 
> ~~~ /etc/auth.conf
> # Using LDAP auth
> 
> ldap
>  regexp .*
>  host srvldap1.domain.tld:636,srvldap2.domain.tld:636
>  timeout 10
>  suffix dc=domain,dc=tld
>  get_dn_by_uid_filter (uid=[sender])
>  get_dn_by_email_filter (|(mail=[sender])(mailLocalAddress=[sender]))
>  email_attribute mail
>  alternative_email_attribute mailLocalAddress
>  scope sub
>  use_ssl 1
>  ssl_version sslv3
>  ssl_ciphers MEDIUM:HIGH
> ~~~
> 
> mailLocalAddress est multi-valué
> 
> 
> Une requête sur l'annuaire en utilisant le filtre fonctionne pourtant :
> 
> ~~~ bash
> $ adresse@cachée ldapsearch -H ldaps://srvldap1.domain.tld -b
> dc=domain,dc=tld -LLLx
> "(|(mail=$sender)(mailLocalAddress=$sender)(uid=$sender))" dn
> dn: uid=fhh,ou=users,dc=domain,dc=tld
> ~~~
> 
> Dans les logs, je vois la requête échouer (timestamps retirés) :
> 
> ~~~ /var/log/sympa.log
> wwsympa[961]: err LDAPSource::connect() Unable to connect to the LDAP
> server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
> wwsympa[961]: err LDAPSource::connect() Unable to connect to the LDAP
> server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
> wwsympa[961]: err Auth::ldap_authentication() Unable to connect to the
> LDAP server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
> wwsympa[961]: err Auth::ldap_authentication() Unable to connect to the
> LDAP server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
> wwsympa[961]: err Auth::authentication() authentication: incorrect
> password for user adresse@cachée
> wwsympa[961]: err Auth::authentication() authentication: incorrect
> password for user adresse@cachée
> wwsympa[961]: notice main::do_login() Authentication failed
> wwsympa[961]: notice main::do_login() Authentication failed
> wwsympa[961]: info [robot lists.domain.tld] [session 00785802168000]
> [client 10.10.10.10] main::do_renewpasswd() do_renewpasswd(adresse@cachée)
> wwsympa[961]: info [robot lists.domain.tld] [session 00785802168000]
> [client 10.10.10.10] main::do_renewpasswd() do_renewpasswd(adresse@cachée)
> wwsympa[975]: err LDAPSource::connect() Unable to connect to the LDAP
> server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
> wwsympa[975]: err LDAPSource::connect() Unable to connect to the LDAP
> server 'srvldap1.domain.tld:636,srvldap2.domain.tld:636'
> wwsympa[975]: err main::is_ldap_user() Unable to connect to the LDAP
> server ''
> wwsympa[975]: err main::is_ldap_user() Unable to connect to the LDAP
> server ''
> wwsympa[975]: info [robot lists.domain.tld] [session 60205358173663]
> [client 10.10.10.10] main::do_login() do_login: missing parameter passwd
> wwsympa[975]: info [robot lists.domain.tld] [session 60205358173663]
> [client 10.10.10.10] main::do_login() do_login: missing parameter passwd
> wwsympa[975]: info [robot lists.domain.tld] [session 60205358173663]
> [client 10.10.10.10] main::do_renewpasswd() do_renewpasswd(fhh)
> wwsympa[975]: info [robot lists.domain.tld] [session 60205358173663]
> [client 10.10.10.10] main::do_renewpasswd() do_renewpasswd(fhh)
> ~~~
> 
> et le cgi termine par une Erreur 500 avec des erreurs dans les logs
> d'apache (timestamps retirés):
> 
> ~~~ /var/log/apache2/error.log
> [fcgid:warn] [pid 294:tid 139702935324544] mod_fcgid: process 980
> graceful kill fail, sending SIGKILL
> ...
> [fcgid:error] [pid 294:tid 139702935324544] mod_fcgid: process
> /usr/lib/cgi-bin/sympa/wwsympa-wrapper.fcgi(961) exit(communication
> error), get unexpected signal 13
> ...
> ~~~
> 
> Auriez-vous une idée de ce qui pêche ?
> 
> Bien cordialement,
> 
> FHH
> 


-- 
___________________________________________________________________
Francis HULIN-HUBARD
~ Laboratoire Spécification et Vérification
~  CNRS & ENS de Cachan
~   61, avenue du Président Wilson
~    94235 CACHAN Cedex
Bureau RH-B-006
Tel : +33 (0)1 47 40 75 75
___________________________________________________________________
EF9890A1 - pgp.mit.edu

Attachment: signature.asc
Description: OpenPGP digital signature