Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps

Chronologique Discussions  
    < Chronologique >       < Discussions >
  • From: Laurent Spagnol <adresse@cachée>
  • To: "Marianne BALANCHE (CRI)" <adresse@cachée>, adresse@cachée
  • Subject: Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps
  • Date: Thu, 28 Mar 2019 23:13:01 +0100
Bonjour,

Le message indique "ssl_ciphers=ALL;ssl_version=sslv3;use_tls=ldaps"

Quelle version minimale de SSL/TLS est acceptée par le serveur LDAP ?

SSLv3 est vulnérable, il est conseillé de le désactiver. Si c'est le cas sur ton serveur LDAP, il n'accepte peut-être tout simplement pas cette version mais au minimum TLSv1.0 (remarque au passage: il est aussi recommandé de désactiver TLSv1.0 mais ce n'est pas toujours possible).

Essaye de préciser la version de SSL:
tlsv1 - TLS version 1
tlsv1_1 - TLS version 1.1
tlsv1_2 - TLS version 1.2
tlsv1_3 - TLS version 1.3

Un truc pour ne pas avoir à configurer tous les paramètres à chaque fois que tu configure une source de données LDAP: utilise un fichier "incl" (data_sources/ldap.incl)

Le contenu sera du style:

include_ldap_query
suffix ou=people,dc=XXXXXX
host ldap.XXXXX
select first
name Requête LDAP
timeout 30
user cn=XXX,ou=XXXX,dc=XXXXXXX
passwd XXXXXXXXXXXX
filter [%param.0%]
ca_verify required
scope one
use_tls ldaps => A VERIFER
ssl_ciphers ALL
ssl_version tlsv1 => A VERIFIER
attrs mail

Lorsque tu configurera une source LDAP, il suffira d'utiliser "Utilisateurs inclus depuis des sources de données paramétrables (member_include)", de sélectionner "Requête LDAP" dans la liste déroulante et d'indiquer le filtre dans "Paramètres liés à la source de données (source_parameters)", par exemple "&(enService=O)(|(eduPersonAffiliation=employee)(eduPersonAffiliation=faculty))"

Vérifier les arguments, j'ai l'impression que la syntaxe a changé sur les versions récentes de Sympa: https://sympa-community.github.io/gpldoc/man/list_config.5.html (@David: l'ancienne syntaxe est toujours valable ?)

Cdlt,

LS

Le 28/03/2019 à 17:26, Marianne BALANCHE (CRI) a écrit :
Bonjour,

Nous avons installé sympa version 6.2.40 sur une CentOS 7.

Nous rencontrons l'erreur suivante quand nous faisons une mise à jour des abonnés avec une source de données en ldaps :
main::do_sync_include#16592 > Sympa::List::sync_include#6683 > Sympa::List::_load_list_members_from_include#5913 > Sympa::List::_include_users_ldap#5176 > Sympa::Database::connect#157
Can't connect to Database Sympa::DatabaseDriver::LDAP <bind_dn=cn=XXX, ou=XXXX, dc=XXXX, dc=fr;ca_file=/etc/ssl/certs/DigiCertCA.crt;ca_path=/etc/ssl/certs;ca_verify=required;host=ldaps://XXXXXXX:636;ssl_ciphers=ALL;ssl_version=sslv3;use_tls=ldaps>:

err main::#1571 > main::do_sync_include#16592 > Sympa::List::sync_include#6683 > Sympa::List::_load_list_members_from_include#5913 > Sympa::List::_include_users_ldap#5177 Unable to connect to the LDAP s
erver "XXXXXXX:636"


Petites informations complémentaires :
En utilisant le protocole ldap (389) ça fonctionne.
Un ldapsearch et un telnet fonctionne sur le port 636.
Nous avons installé les certificats digicert et les avons déclarés dans le fichier sympa.conf

Quelqu'un aurait déjà rencontré ce problème ?

Cordialement



--
Laurent Spagnol
Administrateur GNU/Linux

Responsable du pôle système
Service réseau et télécom
Direction du Numérique

Université de Reims
Campus du Moulin de la Housse
Bâtiment 3
BP 1039 - 51687 Reims cedex 2

Plan d'accès : https://frama.link/DN-URCA

Tel: +33 3 26 91 88 32
Fax: +33 3 26 91 31 87

https://numerique.univ-reims.fr

Archives gérées par MHonArc 2.6.19+.

Haut de le page