fr - Re: [sympa-fr] Connexion LDAP après authentification CAS

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Re: [sympa-fr] Connexion LDAP après authentification CAS

From: Christophe GABORET <adresse@cachée>
To: adresse@cachée
Subject: Re: [sympa-fr] Connexion LDAP après authentification CAS
Date: Wed, 24 Jan 2018 11:58:22 +0100 (CET)

Bonjour à tous,

Je viens de trouver ce qui n'allait pas.
Ceci était dû à SELinux. Désolé pour le bruit..

Bien cordialement,

Christophe.

De: "Christophe GABORET" <adresse@cachée>
À: adresse@cachée
Envoyé: Jeudi 18 Janvier 2018 11:01:26
Objet : [sympa-fr] Connexion LDAP après authentification CAS

Bonjour à tous,

Je suis en train de préparer un changement de nom de domaine de listes et il y a quelques temps, on m'a conseillé sur cette liste de mettre en place un serveur temporaire dans la même version que ma production afin de mener à bien tout ça.

J'ai donc monté un serveur nommé sympatmp qui tourne sur une centos 7 (et non centos 6 comme ma prod) avec un sympa 6.1.24 packagé en rpm (comme sur ma prod).

J'ai repris mes conf de production, changé le nom d'hôte et repris le fichier /etc/sympa/auth.conf avec mes informations concernant mon CAS:

cas

base_url https://cas.tem-tsp.eu/cas

auth_service_name CAS

ldap_host ldap1.tem-tsp.eu

ldap_get_email_by_uid_filter (uid=[uid])

ldap_timeout 7

ldap_suffix dc=int-evry,dc=fr

ldap_scope sub

ldap_email_attribute mail

ldap_use_ssl no

user_table

regexp .*

Lorsque je cherche à me connecter avec CAS, j'ai systématiquement (y compris en https) dans les logs ce type de message:

Jan 18 10:05:11 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_sso_login() do_sso_login: redirect_url(https://cas.tem-tsp.eu/cas/login?service=http://sympatmp.int-evry.fr/wws/sso_login_succeeded/CAS)

Jan 18 10:05:11 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_sso_login() do_sso_login(CAS)

Jan 18 10:05:14 sympatmp wwsympa[4742]: notice CAS ticket is detected. in{'ticket'}=ST-43012-i91asUXsZgEsMI5PHPTN-cas.tem-tsp.eu checked_cas=0

Jan 18 10:05:14 sympatmp wwsympa[4742]: notice login CAS OK server netid=gaboret

Jan 18 10:05:14 sympatmp wwsympa[4742]: err LDAPSource::connect() Unable to connect to the LDAP server 'ldap1.tem-tsp.eu'

Jan 18 10:05:14 sympatmp wwsympa[4742]: err Auth::get_email_by_net_id() Unable to connect CG3 to the LDAP server 'ldap1.tem-tsp.eu'

Jan 18 10:05:14 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_sso_login_succeeded() do_sso_login_succeeded(CAS)

Jan 18 10:05:14 sympatmp wwsympa[4742]: notice login CAS OK server netid=gaboret

Jan 18 10:05:14 sympatmp wwsympa[4742]: err LDAPSource::connect() Unable to connect to the LDAP server 'ldap1.tem-tsp.eu'

Jan 18 10:05:14 sympatmp wwsympa[4742]: err Auth::get_email_by_net_id() Unable to connect CG3 to the LDAP server 'ldap1.tem-tsp.eu'

Jan 18 10:05:14 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_sso_login_succeeded() do_sso_login_succeeded(CAS)

Jan 18 10:05:14 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_redirect() do_redirect(http://sympatmp.int-evry.fr/wws/lists)

J'en déduis que l'authentification se passe bien mais que la connexion à mon LDAP ne se fait pas.

Le "CG3" en rouge vient de la ligne 321 du fichier /usr/share/sympa/lib/Auth.pm que j'ai modifié pour voir où ça m...dait. Ce fichier vient du package sympa-6.1.24-1.20150114.RHEL7.x86_64 et (sans ce rajout) il est identique à celui de ma production, c'est à dire celui provenant du paquet sympa-6.1.24-1.20150114.RHEL6.i686.

J'autorise bien une interrogation anonyme à mon annuaire:

[root@sympatmp ~]# ldapsearch -x uid=gaboret -h ldap1.tem-tsp.eu | grep mail:

mail: adresse@cachée

Les paquets perl sont les mêmes à quelques versions près de ce qu'il y a sur ma prod et j'ai rajouté dans le doute masi sans succès, quelques modules cpan:

[root@sympatmp ~]# for M in `perldoc -t perllocal|grep Module |sed -e 's/^.*" //'`; do V=`perldoc -t perllocal|awk "/$M/{y=1;next}y" |grep VERSION |head -n 1`; printf "%30s %s\n" "$M" "$V"; done |sort

Authen::CAS::Client * "VERSION: 0.08"

CGI * "VERSION: 4.38"

CPAN::Meta::YAML * "VERSION: 0.018"

IO::Socket::SSL * "VERSION: 2.052"

JSON::PP * "VERSION: 2.97001"

MIME::Charset * "VERSION: 1.012.2"

Net::LDAP * "VERSION: 0.65"

Sub::Uplevel * "VERSION: 0.2800"

Test::Deep * "VERSION: 1.127"

Test::Exception * "VERSION: 0.43"

Test::Harness * "VERSION: 3.39"

Test::MockObject * "VERSION: 1.20161202"

Test::Needs * "VERSION: 0.002005"

Test::NoWarnings * "VERSION: 1.04"

Test::Simple * "VERSION: 1.302120"

Test::Warn * "VERSION: 0.32"

UNIVERSAL::can * "VERSION: 1.20140328"

UNIVERSAL::isa * "VERSION: 1.20171012"

URI * "VERSION: 1.73"

A noter qu'un "sympa_wizard.pl --check" me dit aussi que tout est OK au niveau perl.

Bon évidemment, je peux me connecter en local mais on perd carrément l'intérêt du SSO..

Aurais-je louper quelque chose d'évident ?

Avez-vous déjà rencontré ce problème ?

D'une façon plus générale, comment est gérée dans sympa l'interrogation LDAP après authentification ?

Merci.

Bien cordialement,

Christophe.

---

Christophe Gaboret
Responsable Service Infrastructure Systèmes Réseaux
Direction Informatique & Système d'Information
Institut Mines-Télécom
9, rue Charles Fourier 91011 Évry

[sympa-fr] Connexion LDAP après authentification CAS, Christophe GABORET, 18/01/2018
- Re: [sympa-fr] Connexion LDAP après authentification CAS, Christophe GABORET, 24/01/2018

Archives gérées par MHonArc 2.6.19+.

Archives de la liste

Re: [sympa-fr] Connexion LDAP après authentification CAS