Accéder au contenu.
Menu Sympa

fr - RE: [sympa-fr] Vérification de certificat pour include_ldap_query dans une liste de distribution

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

RE: [sympa-fr] Vérification de certificat pour include_ldap_query dans une liste de distribution

Chronologique Discussions  
    < Chronologique >       < Discussions >
  • From: Philippe Aepli <adresse@cachée>
  • To: "adresse@cachée" <adresse@cachée>
  • Subject: RE: [sympa-fr] Vérification de certificat pour include_ldap_query dans une liste de distribution
  • Date: Fri, 19 Aug 2016 15:53:30 +0000

Bonjour,

 

Ayant continué à chercher à résoudre mon problème, je me permet de me répondre.

 

Dans Sympa 6.2.16 si les attributs ca_file et/ou ca_path d'une liste de distribution ne sont pas renseignés, c'est les valeurs par défaut qui sont utilisées.

 

Ces valeurs sont définies dans le fichier de configuration /etc/sympa/sympa.conf. Elles se nommes cafile et capath, elles sont définies dans le paragraphe "###\\\\ S/MIME configuration ////###".

 

Dans mes essais, j'avais oublié de redémarrer le service apache2 et c'est pourquoi j'avais l'impression que mes modifications du fichier de configuration de Sympa n'étaient pas prises en compte.

Donc n'oubliez pas de redémarrer les services Sympa et Apache2 (ou web) si vous modifier le fichier de configuration de Sympa!

 

Bon ce fonctionnement ne résout pas tous les problèmes.

Dans le cas d'utilisation de plusieurs serveurs LDAP ayant des autorités de certification différentes.

 

Je me suis permis un petit patch du module ListDef.pm qui étend les attributs des listes de distribution.

 

De cette manière il est dorénavant possible de spécifier un fichier d'autorités de certification par type de requêtes ldap.

De plus si ce nouvel attribut n'est pas renseigné, la fonctionnalité originale est conservée et se sera la valeur par défaut qui sera utilisée.

 

Voici les lignes que j'ai ajouté à la suite de chaque définition de l'attribut ca_verify:

 

'ca_file' => {

    'order'      => 2.9,

    'gettext_id' => 'File containing trusted CA certificates',

    'format'     => '.+'

},

 

Faites attention à la syntaxe, aux accolades fermantes et aux virgules!

 

Après ce patch il suffit de redémarrer Sympa, ainsi que votre serveur Web (apache2 dans mon cas).

 

Pour ceux que cela intéresse, vous trouverez en pièce jointe le patch correspondant à cette petite adaptation.

 

Salutations.

PS: Cerise sur le gâteau, la chaîne 'File containing trusted CA certificates' est déjà définie dans gettext et est donc traduite automatiquement.

 

 

Philippe AEPLI              Email: adresse@cachée

Université de Genève        Tél: +41 22 379 72 86

Division STIC               Mob: +41 79 280 20 24

Rue du Général-Dufour, 24   Fax: +41 22 379 79 86

1204 Genève

 

De : adresse@cachée [mailto:adresse@cachée] De la part de Philippe Aepli
Envoyé : jeudi 18 août 2016 18:03
À : adresse@cachée
Objet : [sympa-fr] Vérification de certificat pour include_ldap_query dans une liste de distribution

 

Bonjour,

 

Je continue mes découvertes avec Sympa 6.2.16.

La migration de 6.1.17 vers 6.2.16 sur un nouveau serveur c'est relativement bien passé.

 

A part qu'au niveau de la documentation, il y a une coquille, la copie des fichiers de la bases ne fonctionne pas.

 

Il faut passer par un dump de la base de donnée mysql.

 

Bon, mon problème réside dans les listes dont les membres sont ajoutés automatiquement à l'aide d'une requête ldap (include_ldap_query).

 

Une nouvelle option fait sont apparition ca_verify qui par défaut vaut required.

 

Qui oblige la vérification du certificat du serveur lors d'une requête ldaps (et c'est une bonne chose).

 

Par contre, je n'ai pas trouvé d'option qui fonctionne pour spécifier le fichier de l'autorité de certification.

 

J'ai bien essayé d'ajouter ca_file dans les options de la liste, mais rien n'y fait.

 

J'ai aussi essayé de modifier l'option cafile du fichier sympa.conf sans résultat.

 

La seule solution que j'ai trouvé c'est de désactiver la vérification …

 

J'aurais plusieurs questions:

·         Comment puis-je spécifier le fichier ou le dossier contenant les autorités de certification ?

·         Existe-t-il un dossier par défaut où enregistrer les autorités de certifications ?

·         Si ce n'est pas le cas, comment faire en sorte que l'option par défaut de ca_verify soit none au lien de required ?

Car j'ai un grand nombre de listes automatiques en prod et cela risque d'être périlleux lors de la migration.

 

Merci d'avance pour votre aide.

 

Salutations.

 

 

 

Philippe AEPLI              Email: adresse@cachée

Université de Genève        Tél: +41 22 379 72 86

Division STIC               Mob: +41 79 280 20 24

Rue du Général-Dufour, 24   Fax: +41 22 379 79 86

1204 Genève

 

Attachment: ListDef.pm.patch
Description: ListDef.pm.patch


Archives gérées par MHonArc 2.6.19+.

Haut de le page