Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] Connexion LDAP après authentification CAS

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Chronologique Discussions  
  • From: Christophe GABORET <adresse@cachée>
  • To: adresse@cachée
  • Subject: Re: [sympa-fr] Connexion LDAP après authentification CAS
  • Date: Wed, 24 Jan 2018 11:58:22 +0100 (CET)

Bonjour à tous, 

Je viens de trouver ce qui n'allait pas. 
Ceci était dû à SELinux. Désolé pour le bruit.. 


Bien cordialement, 
Christophe. 


De: "Christophe GABORET" <adresse@cachée>
À: adresse@cachée
Envoyé: Jeudi 18 Janvier 2018 11:01:26
Objet : [sympa-fr] Connexion LDAP après authentification CAS

Bonjour à tous, 

Je suis en train de préparer un changement de nom de domaine de listes et il y a quelques temps, on m'a conseillé sur cette liste de mettre en place un serveur temporaire dans la même version que ma production afin de mener à bien tout ça. 

J'ai donc monté un serveur nommé sympatmp qui tourne sur une centos 7 (et non centos 6 comme ma prod) avec un sympa 6.1.24 packagé en rpm (comme sur ma prod). 
J'ai repris mes conf de production, changé le nom d'hôte et repris le fichier /etc/sympa/auth.conf avec mes informations concernant mon CAS: 

cas

        base_url https://cas.tem-tsp.eu/cas

        auth_service_name CAS

        ldap_host ldap1.tem-tsp.eu

        ldap_get_email_by_uid_filter (uid=[uid])

        ldap_timeout 7

        ldap_suffix dc=int-evry,dc=fr

        ldap_scope sub

        ldap_email_attribute mail

  ldap_use_ssl no
 

user_table

regexp                 .*



Lorsque je cherche à me connecter avec CAS, j'ai systématiquement (y compris en https) dans les logs ce type de message: 

Jan 18 10:05:11 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_sso_login() do_sso_login: redirect_url(https://cas.tem-tsp.eu/cas/login?service=http://sympatmp.int-evry.fr/wws/sso_login_succeeded/CAS)

Jan 18 10:05:11 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_sso_login() do_sso_login(CAS)

Jan 18 10:05:11 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_sso_login() do_sso_login: redirect_url(https://cas.tem-tsp.eu/cas/login?service=http://sympatmp.int-evry.fr/wws/sso_login_succeeded/CAS)

Jan 18 10:05:14 sympatmp wwsympa[4742]: notice CAS ticket is detected. in{'ticket'}=ST-43012-i91asUXsZgEsMI5PHPTN-cas.tem-tsp.eu checked_cas=0

Jan 18 10:05:14 sympatmp wwsympa[4742]: notice CAS ticket is detected. in{'ticket'}=ST-43012-i91asUXsZgEsMI5PHPTN-cas.tem-tsp.eu checked_cas=0

Jan 18 10:05:14 sympatmp wwsympa[4742]: notice login CAS OK server netid=gaboret

Jan 18 10:05:14 sympatmp wwsympa[4742]: err LDAPSource::connect() Unable to connect to the LDAP server 'ldap1.tem-tsp.eu'

Jan 18 10:05:14 sympatmp wwsympa[4742]: err Auth::get_email_by_net_id() Unable to connect CG3 to the LDAP server 'ldap1.tem-tsp.eu'

Jan 18 10:05:14 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_sso_login_succeeded() do_sso_login_succeeded(CAS)

Jan 18 10:05:14 sympatmp wwsympa[4742]: notice login CAS OK server netid=gaboret

Jan 18 10:05:14 sympatmp wwsympa[4742]: err LDAPSource::connect() Unable to connect to the LDAP server 'ldap1.tem-tsp.eu'

Jan 18 10:05:14 sympatmp wwsympa[4742]: err Auth::get_email_by_net_id() Unable to connect CG3 to the LDAP server 'ldap1.tem-tsp.eu'

Jan 18 10:05:14 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_sso_login_succeeded() do_sso_login_succeeded(CAS)

Jan 18 10:05:14 sympatmp wwsympa[4742]: info [robot int-evry.fr] [session 37437074777049] [client 157.159.21.66] main::do_redirect() do_redirect(http://sympatmp.int-evry.fr/wws/lists)


J'en déduis que l'authentification se passe bien mais que la connexion à mon LDAP ne se fait pas. 

Le "CG3" en rouge vient de la ligne 321 du fichier /usr/share/sympa/lib/Auth.pm que j'ai modifié pour voir où ça m...dait. Ce fichier vient du package sympa-6.1.24-1.20150114.RHEL7.x86_64 et (sans ce rajout) il est identique à celui de ma production, c'est à dire celui provenant du paquet sympa-6.1.24-1.20150114.RHEL6.i686. 


J'autorise bien une interrogation anonyme à mon annuaire: 

[root@sympatmp ~]# ldapsearch -x uid=gaboret -h ldap1.tem-tsp.eu | grep mail:

mail: adresse@cachée


Les paquets perl sont les mêmes à quelques versions près de ce qu'il y a sur ma prod et j'ai rajouté dans le doute masi sans succès, quelques modules cpan: 

[root@sympatmp ~]# for M in `perldoc -t perllocal|grep Module |sed -e 's/^.*" //'`; do V=`perldoc -t perllocal|awk "/$M/{y=1;next}y" |grep VERSION |head -n 1`; printf "%30s %s\n" "$M" "$V"; done |sort

           Authen::CAS::Client     *   "VERSION: 0.08"

                           CGI     *   "VERSION: 4.38"

              CPAN::Meta::YAML     *   "VERSION: 0.018"

               IO::Socket::SSL     *   "VERSION: 2.052"

                      JSON::PP     *   "VERSION: 2.97001"

                 MIME::Charset     *   "VERSION: 1.012.2"

                     Net::LDAP     *   "VERSION: 0.65"

                  Sub::Uplevel     *   "VERSION: 0.2800"

                    Test::Deep     *   "VERSION: 1.127"

               Test::Exception     *   "VERSION: 0.43"

                 Test::Harness     *   "VERSION: 3.39"

              Test::MockObject     *   "VERSION: 1.20161202"

                   Test::Needs     *   "VERSION: 0.002005"

              Test::NoWarnings     *   "VERSION: 1.04"

                  Test::Simple     *   "VERSION: 1.302120"

                    Test::Warn     *   "VERSION: 0.32"

                UNIVERSAL::can     *   "VERSION: 1.20140328"

                UNIVERSAL::isa     *   "VERSION: 1.20171012"

                           URI     *   "VERSION: 1.73"


A noter qu'un "sympa_wizard.pl --check" me dit aussi que tout est OK au niveau perl. 



Bon évidemment, je peux me connecter en local mais on perd carrément l'intérêt du SSO.. 
Aurais-je louper quelque chose d'évident ? 
Avez-vous déjà rencontré ce problème ?
D'une façon plus générale, comment est gérée dans sympa l'interrogation LDAP après authentification ?


Merci. 

Bien cordialement, 
Christophe.

---
Christophe Gaboret
Responsable Service Infrastructure Systèmes Réseaux
Direction Informatique & Système d'Information
Institut Mines-Télécom
9, rue Charles Fourier 91011 Évry






Archives gérées par MHonArc 2.6.19+.

Haut de le page