Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps

[Laurent Spagnol <adresse@cachée>]

J'imagine que ton instance Sympa utilise forcément LDAP pour 
l'authentification ?
Sur mon instance, il est configuré 2 fois (auth.conf):
- pour l'authentification "directe" LDAP
- pour l'authentification "CAS" (récupération d'attributs non retournés 
par CAS)

Si l'authentification LDAP fonctionne, il n'y a pas de raisons pour que 
ça ne fonctionne pas avec la mise à jour des listes.

Compare ce qu'il y a dans ton "auth.conf" avec ta config "include".


Le 29/03/2019 à 09:57, Marianne BALANCHE (CRI) a écrit :
> Bonjour,
>
> Le but est de transférer notre vieux serveur de listes en 5.4.7 sur une 
> dernière version de sympa plus à jour à tous les niveaux 
> (fonctionnalités, sécurité, ...).
>
> Notre serveur LDAP répond à la version TLS 1.2.
> J'ai testé en mettant TLS v1_2 (j'ai testé aussi toutes les autres 
> versions) mais j'obtiens exactement le même message d'erreur mais avec 
> la version ssl différente :
> ssl_ciphers=ALL;ssl_version=tlsv1_2;use_tls=ldaps
> Mais on ne voit aucune connexion sur le serveur LDAP quand on utilise le 
> protocole ldaps via sympa alors que ça fonctionne en faisant un 
> ldapsearch en 636.
>
> Je n'ai pas de fichier include mais j'ai la configuration suivante dans 
> le fichier config :
> include_ldap_query
> attrs mail
> ca_verify required
> ssl_ciphers ALL
> filter (&(|(XXXXXXXXXXXXXXXXXXXX))
> name ldap-cri
> port 636
> host XXXXXX:636
> passwd XXXXX
> timeout 100
> suffix ou=people, dc=XXXXX, dc=fr
> user cn=XXX, ou=XXXX, dc=XXXXX, dc=fr
> ssl_version tlsv1_2
> use_tls ldaps
> scope sub
> select all
>
> Est-ce qu'il y a un bug connu avec les centOS 7 ?
>
> Merci pour votre aide.
>
> Le 28/03/2019 à 23:13, Laurent Spagnol a écrit :
> > Bonjour,
> >
> > Le message indique "ssl_ciphers=ALL;ssl_version=sslv3;use_tls=ldaps"
> >
> > Quelle version minimale de SSL/TLS est acceptée par le serveur LDAP ?
> >
> > SSLv3 est vulnérable, il est conseillé de le désactiver. Si c'est le 
> > cas sur ton serveur LDAP, il n'accepte peut-être tout simplement pas 
> > cette version mais au minimum TLSv1.0 (remarque au passage: il est 
> > aussi recommandé de désactiver TLSv1.0 mais ce n'est pas toujours 
> > possible).
> >
> > Essaye de préciser la version de SSL:
> > tlsv1 - TLS version 1
> > tlsv1_1 - TLS version 1.1
> > tlsv1_2 - TLS version 1.2
> > tlsv1_3 - TLS version 1.3
> >
> > Un truc pour ne pas avoir à configurer tous les paramètres à chaque 
> > fois que tu configure une source de données LDAP: utilise un fichier 
> > "incl" (data_sources/ldap.incl)
> >
> > Le contenu sera du style:
> >
> > include_ldap_query
> > suffix ou=people,dc=XXXXXX
> > host ldap.XXXXX
> > select first
> > name Requête LDAP
> > timeout 30
> > user cn=XXX,ou=XXXX,dc=XXXXXXX
> > passwd XXXXXXXXXXXX
> > filter [%param.0%]
> > ca_verify required
> > scope one
> > use_tls ldaps => A VERIFER
> > ssl_ciphers ALL
> > ssl_version tlsv1 => A VERIFIER
> > attrs mail
> >
> > Lorsque tu configurera une source LDAP, il suffira d'utiliser 
> > "Utilisateurs inclus depuis des sources de données paramétrables 
> > (member_include)", de sélectionner "Requête LDAP" dans la liste 
> > déroulante et d'indiquer le filtre dans "Paramètres liés à la source 
> > de données (source_parameters)", par exemple 
> > "&(enService=O)(|(eduPersonAffiliation=employee)(eduPersonAffiliation=faculty))" 
> >
> >
> > Vérifier les arguments, j'ai l'impression que la syntaxe a changé sur 
> > les versions récentes de Sympa: 
> > https://sympa-community.github.io/gpldoc/man/list_config.5.html 
> > (@David: l'ancienne syntaxe est toujours valable ?)
> >
> > Cdlt,
> >
> > LS
> >
> > Le 28/03/2019 à 17:26, Marianne BALANCHE (CRI) a écrit :
> > > Bonjour,
> > >
> > > Nous avons installé sympa version 6.2.40 sur une CentOS 7.
> > >
> > > Nous rencontrons l'erreur suivante quand nous faisons une mise à jour 
> > > des abonnés avec une source de données en ldaps :
> > > main::do_sync_include#16592 > Sympa::List::sync_include#6683 > 
> > > Sympa::List::_load_list_members_from_include#5913 > 
> > > Sympa::List::_include_users_ldap#5176 > Sympa::Database::connect#157
> > > Can't connect to Database Sympa::DatabaseDriver::LDAP 
> > > <bind_dn=cn=XXX, ou=XXXX, dc=XXXX, 
> > > dc=fr;ca_file=/etc/ssl/certs/DigiCertCA.crt;ca_path=/etc/ssl/certs;ca_verify=required;host=ldaps://XXXXXXX:636;ssl_ciphers=ALL;ssl_version=sslv3;use_tls=ldaps>: 
> > >
> > >
> > > err main::#1571 > main::do_sync_include#16592 > 
> > > Sympa::List::sync_include#6683 > 
> > > Sympa::List::_load_list_members_from_include#5913 > 
> > > Sympa::List::_include_users_ldap#5177 Unable to connect to the LDAP s
> > > erver "XXXXXXX:636"
> > >
> > >
> > > Petites informations complémentaires :
> > > En utilisant le protocole ldap (389) ça fonctionne.
> > > Un ldapsearch et un telnet fonctionne sur le port 636.
> > > Nous avons installé les certificats digicert et les avons déclarés 
> > > dans le fichier sympa.conf
> > >
> > > Quelqu'un aurait déjà rencontré ce problème ?
> > >
> > > Cordialement

--
Laurent Spagnol
Administrateur GNU/Linux

Responsable du pôle système
Service réseau et télécom
Direction du Numérique

Université de Reims
Campus du Moulin de la Housse
Bâtiment 3
BP 1039 - 51687 Reims cedex 2

Plan d'accès : https://frama.link/DN-URCA

Tel: +33 3 26 91 88 32
Fax: +33 3 26 91 31 87

https://numerique.univ-reims.fr