Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps

Chronologique Discussions  
    < Chronologique >       < Discussions >
  • From: Philippe Camps <adresse@cachée>
  • To: adresse@cachée, adresse@cachée
  • Subject: Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps
  • Date: Fri, 29 Mar 2019 10:51:12 +0100
Si cela peut vous aider, voici ma config :

include_ldap_query
attrs mail
ca_verify required
ssl_ciphers ALL
filter (&(***))
name ldap
host ldap1.***,ldap2.***
suffix ou=***,dc=***,dc=***,dc=fr
timeout 30
ssl_version tlsv1_2
use_tls starttls
select first
scope sub

et j'ai quelques chose comme cela dans les logs :
task_manager[3929]: info Sympa::List::_include_users_ldap() 261 included users from LDAP query

Essayer peut-être sans rendre obligatoire le : ca_verify

Le 29/03/2019 à 10:26, Marianne BALANCHE (CRI) a écrit :
Bonjour,

Nous avons bien le même module perl-LDAP installé.
Nous avons lancé la commande sympa_wizard.pl --check pour vérifier qu'il ne nous manquait aucun module.
Il manque juste ODBC mais nous ne nous en servons pas.

Nous ça fonctionne en ldap mais pas en ldaps....

Le 29/03/2019 à 10:12, Philippe Camps a écrit :
Bonjour,

J'utilise un serveur de liste sous centos 7 avec une source de données qui marche très bien avec un serveur LDAP.
Je suis passé récemment de la version 6.2.36 vers 6.2.40. Pas de bug constatés.

Vous avez bien ce module ? : perl-LDAP-0.56-6.el7.noarch

Le 29/03/2019 à 09:57, Marianne BALANCHE (CRI) a écrit :
Bonjour,

Le but est de transférer notre vieux serveur de listes en 5.4.7 sur une dernière version de sympa plus à jour à tous les niveaux (fonctionnalités, sécurité, ...).

Notre serveur LDAP répond à la version TLS 1.2.
J'ai testé en mettant TLS v1_2 (j'ai testé aussi toutes les autres versions) mais j'obtiens exactement le même message d'erreur mais avec la version ssl différente :
ssl_ciphers=ALL;ssl_version=tlsv1_2;use_tls=ldaps
Mais on ne voit aucune connexion sur le serveur LDAP quand on utilise le protocole ldaps via sympa alors que ça fonctionne en faisant un ldapsearch en 636.

Je n'ai pas de fichier include mais j'ai la configuration suivante dans le fichier config :
include_ldap_query
attrs mail
ca_verify required
ssl_ciphers ALL
filter (&(|(XXXXXXXXXXXXXXXXXXXX))
name ldap-cri
port 636
host XXXXXX:636
passwd XXXXX
timeout 100
suffix ou=people, dc=XXXXX, dc=fr
user cn=XXX, ou=XXXX, dc=XXXXX, dc=fr
ssl_version tlsv1_2
use_tls ldaps
scope sub
select all

Est-ce qu'il y a un bug connu avec les centOS 7 ?

Merci pour votre aide.

Le 28/03/2019 à 23:13, Laurent Spagnol a écrit :
Bonjour,

Le message indique "ssl_ciphers=ALL;ssl_version=sslv3;use_tls=ldaps"

Quelle version minimale de SSL/TLS est acceptée par le serveur LDAP ?

SSLv3 est vulnérable, il est conseillé de le désactiver. Si c'est le cas sur ton serveur LDAP, il n'accepte peut-être tout simplement pas cette version mais au minimum TLSv1.0 (remarque au passage: il est aussi recommandé de désactiver TLSv1.0 mais ce n'est pas toujours possible).

Essaye de préciser la version de SSL:
tlsv1 - TLS version 1
tlsv1_1 - TLS version 1.1
tlsv1_2 - TLS version 1.2
tlsv1_3 - TLS version 1.3

Un truc pour ne pas avoir à configurer tous les paramètres à chaque fois que tu configure une source de données LDAP: utilise un fichier "incl" (data_sources/ldap.incl)

Le contenu sera du style:

include_ldap_query
suffix ou=people,dc=XXXXXX
host ldap.XXXXX
select first
name Requête LDAP
timeout 30
user cn=XXX,ou=XXXX,dc=XXXXXXX
passwd XXXXXXXXXXXX
filter [%param.0%]
ca_verify required
scope one
use_tls ldaps => A VERIFER
ssl_ciphers ALL
ssl_version tlsv1 => A VERIFIER
attrs mail

Lorsque tu configurera une source LDAP, il suffira d'utiliser "Utilisateurs inclus depuis des sources de données paramétrables (member_include)", de sélectionner "Requête LDAP" dans la liste déroulante et d'indiquer le filtre dans "Paramètres liés à la source de données (source_parameters)", par exemple "&(enService=O)(|(eduPersonAffiliation=employee)(eduPersonAffiliation=faculty))"

Vérifier les arguments, j'ai l'impression que la syntaxe a changé sur les versions récentes de Sympa: https://sympa-community.github.io/gpldoc/man/list_config.5.html (@David: l'ancienne syntaxe est toujours valable ?)

Cdlt,

LS

Le 28/03/2019 à 17:26, Marianne BALANCHE (CRI) a écrit :
Bonjour,

Nous avons installé sympa version 6.2.40 sur une CentOS 7.

Nous rencontrons l'erreur suivante quand nous faisons une mise à jour des abonnés avec une source de données en ldaps :
main::do_sync_include#16592 > Sympa::List::sync_include#6683 > Sympa::List::_load_list_members_from_include#5913 > Sympa::List::_include_users_ldap#5176 > Sympa::Database::connect#157
Can't connect to Database Sympa::DatabaseDriver::LDAP <bind_dn=cn=XXX, ou=XXXX, dc=XXXX, dc=fr;ca_file=/etc/ssl/certs/DigiCertCA.crt;ca_path=/etc/ssl/certs;ca_verify=required;host=ldaps://XXXXXXX:636;ssl_ciphers=ALL;ssl_version=sslv3;use_tls=ldaps>:

err main::#1571 > main::do_sync_include#16592 > Sympa::List::sync_include#6683 > Sympa::List::_load_list_members_from_include#5913 > Sympa::List::_include_users_ldap#5177 Unable to connect to the LDAP s
erver "XXXXXXX:636"


Petites informations complémentaires :
En utilisant le protocole ldap (389) ça fonctionne.
Un ldapsearch et un telnet fonctionne sur le port 636.
Nous avons installé les certificats digicert et les avons déclarés dans le fichier sympa.conf

Quelqu'un aurait déjà rencontré ce problème ?

Cordialement





--
Philippe CAMPS
Administrateur Systèmes et Réseaux Tél : 04 67 14 39 85 adresse@cachée
IES - Institut d'Electronique et des systemes - UMR 5214 Campus Saint Priest Bâtiment 5 - CC5001 860 rue St Priest - 34095 Montpellier cedex 5 WWW.IES.UNIV-MONTP2.FR 

-- 
+-------------------------------------------------------------------+
  Marianne BALANCHE  					       
  Centre de Ressources Informatiques
  Université de Franche-Comté 
  16, route de Gray                                                                         
  25030 Besançon Cedex  - FRANCE                                                              
  Tél. : 03 81 66 61 19	Fax : 03 81 66 61 77                                      
  Mél : adresse@cachée                                         
+-------------------------------------------------------------------+

--
Philippe CAMPS
Administrateur Systèmes et Réseaux Tél : 04 67 14 39 85 adresse@cachée
IES - Institut d'Electronique et des systemes - UMR 5214 Campus Saint Priest Bâtiment 5 - CC5001 860 rue St Priest - 34095 Montpellier cedex 5 WWW.IES.UNIV-MONTP2.FR

JPEG image

PNG image

PNG image

JPEG image

PNG image

PNG image


Archives gérées par MHonArc 2.6.19+.

Haut de le page