Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps

["Marianne BALANCHE (CRI)" <adresse@cachée>]

Oui l'authentification fonctionne au niveau Cas et ldap.
J’ai la même configuration dans le auth.conf et dans la config include...

Le 29/03/2019 à 10:12, Laurent Spagnol a écrit :
> J'imagine que ton instance Sympa utilise forcément LDAP pour 
> l'authentification ?
> Sur mon instance, il est configuré 2 fois (auth.conf):
> - pour l'authentification "directe" LDAP
> - pour l'authentification "CAS" (récupération d'attributs non 
> retournés par CAS)
>
> Si l'authentification LDAP fonctionne, il n'y a pas de raisons pour 
> que ça ne fonctionne pas avec la mise à jour des listes.
>
> Compare ce qu'il y a dans ton "auth.conf" avec ta config "include".
>
>
> Le 29/03/2019 à 09:57, Marianne BALANCHE (CRI) a écrit :
> > Bonjour,
> >
> > Le but est de transférer notre vieux serveur de listes en 5.4.7 sur 
> > une dernière version de sympa plus à jour à tous les niveaux 
> > (fonctionnalités, sécurité, ...).
> >
> > Notre serveur LDAP répond à la version TLS 1.2.
> > J'ai testé en mettant TLS v1_2 (j'ai testé aussi toutes les autres 
> > versions) mais j'obtiens exactement le même message d'erreur mais 
> > avec la version ssl différente :
> > ssl_ciphers=ALL;ssl_version=tlsv1_2;use_tls=ldaps
> > Mais on ne voit aucune connexion sur le serveur LDAP quand on utilise 
> > le protocole ldaps via sympa alors que ça fonctionne en faisant un 
> > ldapsearch en 636.
> >
> > Je n'ai pas de fichier include mais j'ai la configuration suivante 
> > dans le fichier config :
> > include_ldap_query
> > attrs mail
> > ca_verify required
> > ssl_ciphers ALL
> > filter (&(|(XXXXXXXXXXXXXXXXXXXX))
> > name ldap-cri
> > port 636
> > host XXXXXX:636
> > passwd XXXXX
> > timeout 100
> > suffix ou=people, dc=XXXXX, dc=fr
> > user cn=XXX, ou=XXXX, dc=XXXXX, dc=fr
> > ssl_version tlsv1_2
> > use_tls ldaps
> > scope sub
> > select all
> >
> > Est-ce qu'il y a un bug connu avec les centOS 7 ?
> >
> > Merci pour votre aide.
> >
> > Le 28/03/2019 à 23:13, Laurent Spagnol a écrit :
> > > Bonjour,
> > >
> > > Le message indique "ssl_ciphers=ALL;ssl_version=sslv3;use_tls=ldaps"
> > >
> > > Quelle version minimale de SSL/TLS est acceptée par le serveur LDAP ?
> > >
> > > SSLv3 est vulnérable, il est conseillé de le désactiver. Si c'est le 
> > > cas sur ton serveur LDAP, il n'accepte peut-être tout simplement pas 
> > > cette version mais au minimum TLSv1.0 (remarque au passage: il est 
> > > aussi recommandé de désactiver TLSv1.0 mais ce n'est pas toujours 
> > > possible).
> > >
> > > Essaye de préciser la version de SSL:
> > > tlsv1 - TLS version 1
> > > tlsv1_1 - TLS version 1.1
> > > tlsv1_2 - TLS version 1.2
> > > tlsv1_3 - TLS version 1.3
> > >
> > > Un truc pour ne pas avoir à configurer tous les paramètres à chaque 
> > > fois que tu configure une source de données LDAP: utilise un fichier 
> > > "incl" (data_sources/ldap.incl)
> > >
> > > Le contenu sera du style:
> > >
> > > include_ldap_query
> > > suffix ou=people,dc=XXXXXX
> > > host ldap.XXXXX
> > > select first
> > > name Requête LDAP
> > > timeout 30
> > > user cn=XXX,ou=XXXX,dc=XXXXXXX
> > > passwd XXXXXXXXXXXX
> > > filter [%param.0%]
> > > ca_verify required
> > > scope one
> > > use_tls ldaps => A VERIFER
> > > ssl_ciphers ALL
> > > ssl_version tlsv1 => A VERIFIER
> > > attrs mail
> > >
> > > Lorsque tu configurera une source LDAP, il suffira d'utiliser 
> > > "Utilisateurs inclus depuis des sources de données paramétrables 
> > > (member_include)", de sélectionner "Requête LDAP" dans la liste 
> > > déroulante et d'indiquer le filtre dans "Paramètres liés à la source 
> > > de données (source_parameters)", par exemple 
> > > "&(enService=O)(|(eduPersonAffiliation=employee)(eduPersonAffiliation=faculty))" 
> > >
> > >
> > > Vérifier les arguments, j'ai l'impression que la syntaxe a changé 
> > > sur les versions récentes de Sympa: 
> > > https://sympa-community.github.io/gpldoc/man/list_config.5.html 
> > > (@David: l'ancienne syntaxe est toujours valable ?)
> > >
> > > Cdlt,
> > >
> > > LS
> > >
> > > Le 28/03/2019 à 17:26, Marianne BALANCHE (CRI) a écrit :
> > > > Bonjour,
> > > >
> > > > Nous avons installé sympa version 6.2.40 sur une CentOS 7.
> > > >
> > > > Nous rencontrons l'erreur suivante quand nous faisons une mise à 
> > > > jour des abonnés avec une source de données en ldaps :
> > > > main::do_sync_include#16592 > Sympa::List::sync_include#6683 > 
> > > > Sympa::List::_load_list_members_from_include#5913 > 
> > > > Sympa::List::_include_users_ldap#5176 > Sympa::Database::connect#157
> > > > Can't connect to Database Sympa::DatabaseDriver::LDAP 
> > > > <bind_dn=cn=XXX, ou=XXXX, dc=XXXX, 
> > > > dc=fr;ca_file=/etc/ssl/certs/DigiCertCA.crt;ca_path=/etc/ssl/certs;ca_verify=required;host=ldaps://XXXXXXX:636;ssl_ciphers=ALL;ssl_version=sslv3;use_tls=ldaps>: 
> > > >
> > > >
> > > > err main::#1571 > main::do_sync_include#16592 > 
> > > > Sympa::List::sync_include#6683 > 
> > > > Sympa::List::_load_list_members_from_include#5913 > 
> > > > Sympa::List::_include_users_ldap#5177 Unable to connect to the LDAP s
> > > > erver "XXXXXXX:636"
> > > >
> > > >
> > > > Petites informations complémentaires :
> > > > En utilisant le protocole ldap (389) ça fonctionne.
> > > > Un ldapsearch et un telnet fonctionne sur le port 636.
> > > > Nous avons installé les certificats digicert et les avons déclarés 
> > > > dans le fichier sympa.conf
> > > >
> > > > Quelqu'un aurait déjà rencontré ce problème ?
> > > >
> > > > Cordialement

--
+-------------------------------------------------------------------+
  Marianne BALANCHE                                     
  Centre de Ressources Informatiques
  Université de Franche-Comté
  16, route de Gray
  25030 Besançon Cedex  - FRANCE
  Tél. : 03 81 66 61 19 Fax : 03 81 66 61 77
  Mél : adresse@cachée
+-------------------------------------------------------------------+