RE: [sympa-fr] Problème connexion LDAP - sympa 6.1.23

[Philippe Aepli <adresse@cachée>]

Bonjour,

 

Dans votre configuration que valent les paramètres ca_verify, ca_path et ca_file ?

 

Si ca_verify vaut "none" aucune vérification du certificat de votre serveur ne sera effectuée.

 

Par contre, si ca_verify vaut "optionel" ou "required" une vérification du certificat du serveur ldap devrait être effectuée.

 

Dans ces cas, vous devrez renseigner ca_path ou ca_file avec respectivement soit le dossier, soit le fichier contenant les autorités de certifications.

 

Salutations.

 

 

Philippe AEPLI              Email: adresse@cachée

Université de Genève        Tél: +41 22 379 72 86

Division STIC               Mob: +41 79 280 20 24

Rue du Général-Dufour, 24   Fax: +41 22 379 79 86

1204 Genève

 

De : adresse@cachée [mailto:adresse@cachée] De la part de Jérôme Avond
Envoyé : mercredi 7 septembre 2016 01:44
À : adresse@cachée
Objet : [sympa-fr] Problème connexion LDAP - sympa 6.1.23

 

Bonjour,

Serveur Sympa 6.1.23 sur debian 8

J'utilise une authentification LDAP sur un serveur openldap sécurisé via starttls,

J'utilise la doc : http://www.sympa.org/manual/authentication#authconf

et http://www.sympa.org/manual_6.1/authentication#ldap_paragraph

Or il semble que le paramètre use_tls ne soit pas reconnu, et que le paramètre use_ssl ne permette pas de se connecter en STARTTLS.

Merci de m'indiquer ce qui coince, et ce que je devrais regarder,

Cordialement,

--

Jérôme Avond - aka jadjay
Agitateur chez Alolise depuis avril 2005
... et président depuis 2014

mail/jabber : adresse@cachée
telephone : 0661469785

--- Begin Message ---

• From: Philippe Aepli <adresse@cachée>
• To: "adresse@cachée" <adresse@cachée>
• Subject: RE: [sympa-fr] Vérification de certificat pour include_ldap_query dans une liste de distribution
• Date: Fri, 19 Aug 2016 15:53:30 +0000

Bonjour,

 

Ayant continué à chercher à résoudre mon problème, je me permet de me répondre.

 

Dans Sympa 6.2.16 si les attributs ca_file et/ou ca_path d'une liste de distribution ne sont pas renseignés, c'est les valeurs par défaut qui sont utilisées.

 

Ces valeurs sont définies dans le fichier de configuration /etc/sympa/sympa.conf. Elles se nommes cafile et capath, elles sont définies dans le paragraphe "###\\\\ S/MIME configuration ////###".

 

Dans mes essais, j'avais oublié de redémarrer le service apache2 et c'est pourquoi j'avais l'impression que mes modifications du fichier de configuration de Sympa n'étaient pas prises en compte.

Donc n'oubliez pas de redémarrer les services Sympa et Apache2 (ou web) si vous modifier le fichier de configuration de Sympa!

 

Bon ce fonctionnement ne résout pas tous les problèmes.

Dans le cas d'utilisation de plusieurs serveurs LDAP ayant des autorités de certification différentes.

 

Je me suis permis un petit patch du module ListDef.pm qui étend les attributs des listes de distribution.

 

De cette manière il est dorénavant possible de spécifier un fichier d'autorités de certification par type de requêtes ldap.

De plus si ce nouvel attribut n'est pas renseigné, la fonctionnalité originale est conservée et se sera la valeur par défaut qui sera utilisée.

 

Voici les lignes que j'ai ajouté à la suite de chaque définition de l'attribut ca_verify:

 

'ca_file' => {

    'order'      => 2.9,

    'gettext_id' => 'File containing trusted CA certificates',

    'format'     => '.+'

},

 

Faites attention à la syntaxe, aux accolades fermantes et aux virgules!

 

Après ce patch il suffit de redémarrer Sympa, ainsi que votre serveur Web (apache2 dans mon cas).

 

Pour ceux que cela intéresse, vous trouverez en pièce jointe le patch correspondant à cette petite adaptation.

 

Salutations.

PS: Cerise sur le gâteau, la chaîne 'File containing trusted CA certificates' est déjà définie dans gettext et est donc traduite automatiquement.

 

 

Philippe AEPLI              Email: adresse@cachée

Université de Genève        Tél: +41 22 379 72 86

Division STIC               Mob: +41 79 280 20 24

Rue du Général-Dufour, 24   Fax: +41 22 379 79 86

1204 Genève

 

De : adresse@cachée [mailto:adresse@cachée] De la part de Philippe Aepli
Envoyé : jeudi 18 août 2016 18:03
À : adresse@cachée
Objet : [sympa-fr] Vérification de certificat pour include_ldap_query dans une liste de distribution

 

Bonjour,

 

Je continue mes découvertes avec Sympa 6.2.16.

La migration de 6.1.17 vers 6.2.16 sur un nouveau serveur c'est relativement bien passé.

 

A part qu'au niveau de la documentation, il y a une coquille, la copie des fichiers de la bases ne fonctionne pas.

 

Il faut passer par un dump de la base de donnée mysql.

 

Bon, mon problème réside dans les listes dont les membres sont ajoutés automatiquement à l'aide d'une requête ldap (include_ldap_query).

 

Une nouvelle option fait sont apparition ca_verify qui par défaut vaut required.

 

Qui oblige la vérification du certificat du serveur lors d'une requête ldaps (et c'est une bonne chose).

 

Par contre, je n'ai pas trouvé d'option qui fonctionne pour spécifier le fichier de l'autorité de certification.

 

J'ai bien essayé d'ajouter ca_file dans les options de la liste, mais rien n'y fait.

 

J'ai aussi essayé de modifier l'option cafile du fichier sympa.conf sans résultat.

 

La seule solution que j'ai trouvé c'est de désactiver la vérification …

 

J'aurais plusieurs questions:

·         Comment puis-je spécifier le fichier ou le dossier contenant les autorités de certification ?

·         Existe-t-il un dossier par défaut où enregistrer les autorités de certifications ?

·         Si ce n'est pas le cas, comment faire en sorte que l'option par défaut de ca_verify soit none au lien de required ?

Car j'ai un grand nombre de listes automatiques en prod et cela risque d'être périlleux lors de la migration.

 

Merci d'avance pour votre aide.

 

Salutations.

 

 

 

Philippe AEPLI              Email: adresse@cachée

Université de Genève        Tél: +41 22 379 72 86

Division STIC               Mob: +41 79 280 20 24

Rue du Général-Dufour, 24   Fax: +41 22 379 79 86

1204 Genève

 

Attachment: ListDef.pm.patch
Description: ListDef.pm.patch

--- End Message ---