Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps

[Frédéric Goudal <adresse@cachée>]

Bonjour,

Nous avions le même pb. J’ai été obligé de rajouter du log au niveau des 
modules Net::LDAP et IO::Socket::SSL plus un petit strace pour trouver la 
liste des pbs.

À noter que quand sympa ne trouve pas le module IO::Socket::SSL, il est sensé 
remonter un message, mais comme le chargement du module est optionnel, il 
échoue sur un simple message connexion refused.

Est-ce que le fichier chaîne de certification est présent, et accessible par 
les utilisateurs sympa (sympa + utilisateur du serveur web) ?

f.g.


> Le 15 avr. 2019 à 12:57, Marianne BALANCHE (CRI) 
> <adresse@cachée> a écrit :
> 
> Bonjour,
> 
> La connexion LDAP fonctionne mais pas la connexion LDAPS.
> Au niveau logs il dit simplement qu'il ne peut pas se connecter au serveur.
> On a testé toutes les versions SSL sans aucun succès.
> Ce qui est étrange c'est que tout fonctionne avant la migration et après la 
> migration plus rien ne fonctionne même la nouvelle liste créée.
> 
> 
> Le 15/04/2019 à 11:24, Frédéric Goudal a écrit :
>> Bonjour,
>> 
>> Est-ce que vous utilisez une connexion ldap ou ldaps ?
>> Lors de notre récente migration nous avons eu pas mal de pb de débuggage 
>> de la connexion ldaps de sympa car aucun log précis n’est remonté sur 
>> l’échec de connexion.
>> De notre côté les pbs étaient : mauvaise version de SSL demandée (marchait 
>> sur l’ancien serveur) + pb d’accés à la chaîne de certification.
>> 
>> f.g.
>> 
>> 
>>> Le 15 avr. 2019 à 11:19, Marianne BALANCHE (CRI) 
>>> <adresse@cachée> a écrit :
>>> 
>>> Bonjour,
>>> 
>>> Je reviens vers vous car j'ai de nouveau mon problème de mise à jour des 
>>> abonnés via ldaps.
>>> 
>>> J'ai refait une installation d'une CentOS7 avec sympa.
>>> J'ai créé une liste avec mise à jour des abonnés en ldaps et tout 
>>> fonctionne.
>>> Le serveur se connecte bien au ldap et la liste des abonnés est bien 
>>> créée.
>>> 
>>> Je pensais que mon problème était réglé mais quand je transferts mes 
>>> listes de l'ancien serveur (sympa version 5.4.7) vers le nouveau serveur 
>>> (sympa version version 6.2.42) avec le sympa.pl --upgrade, plus rien de 
>>> fonctionne.
>>> Les anciennes listes ne se mettent pas à jour ni même la nouvelle liste 
>>> que j'ai créé au départ.
>>> J'ai le message d'erreur "Unable to connect to the LDAP server"
>>> 
>>> Cordialement
>>> 
>>> 
>>> Le 04/04/2019 à 14:48, Marianne BALANCHE (CRI) a écrit :
>>>> Bonjour,
>>>> 
>>>> J'ai résolu mon problème en refaisant une installation de la CentOS7 
>>>> mais avec une version complète.
>>>> La première fois j'avais utilisé une installation minimale.
>>>> Donc on suppose que cela peut venir du fait qu'il manquait des paquets.
>>>> 
>>>> Merci pour votre aide.
>>>> 
>>>> Le 01/04/2019 à 22:55, Ph. Balse a écrit :
>>>>> Bonjour,
>>>>> 
>>>>> Le 29/03/2019 à 11:30, Benoit Branciard a écrit :
>>>>>> Si ça peut aider:
>>>>>> 
>>>>>> sur notre config Sympa qui est basée sur du Debian (Debian 7 
>>>>>> précédemment, 9 maintenant), la bibliothèque LDAP/TLS utilisée par 
>>>>>> Sympa (à priori c'est Net::LDAP qui s'appuie sur OpenSSL) n'*accepte 
>>>>>> pas* les options de version TLS (ssl_version) telle qu'elles sont 
>>>>>> formulées par Sympa:  tlsv1_1 et tlsv1_2.
>>>>>   Sur Debian 9, la bibliothèque LDAP dépend de GnuTLS:
>>>>> 
>>>>> # apt-rdepends libldap-2.4-2|grep -i tls
>>>>> Reading package lists... Done
>>>>> Building dependency tree
>>>>> Reading state information... Done
>>>>>   Depends: libgnutls30 (>= 3.5.6)
>>>>> libgnutls30
>>>>> 
>>>>>   Ceci explique peut-être le problème.
>>>>> 
>>>>> 
>>>>>   Cordialement
>>>>> 
>>>>>   Philippe
>>>>> 
>>>>>> J'ai dû patcher le source de Sympa (6.1) pour lui faire envoyer la 
>>>>>> syntaxe attendue par la bibliothèque, à savoir: tlsv11 et tlsv12 (sans 
>>>>>> le "_").
>>>>>> 
>>>>>> Je ne sais pas si cette syntaxe est spécifique à Debian, j'imagine que 
>>>>>> oui sinon le pb aurait été plus souvent remonté...
>>>>>> 
>>>>>> Quoi qu'il en soit, l'idéal serait de ne PAS avoir à spécifier cette 
>>>>>> option, et de laisser le client (Sympa) négocier avec le serveur 
>>>>>> (LDAP) la version de protocole la plus élevée qu'ils ont en commun; 
>>>>>> mais l'IHM de Sympa ne permet pas de laisser ce paramètre vide.
>>>>>> 
>>>>>> 
>>>>>> Le 29/03/2019 à 09:57, Marianne BALANCHE (CRI) a écrit :
>>>>>>> Bonjour,
>>>>>>> 
>>>>>>> Le but est de transférer notre vieux serveur de listes en 5.4.7 sur 
>>>>>>> une dernière version de sympa plus à jour à tous les niveaux 
>>>>>>> (fonctionnalités, sécurité, ...).
>>>>>>> 
>>>>>>> Notre serveur LDAP répond à la version TLS 1.2.
>>>>>>> J'ai testé en mettant TLS v1_2 (j'ai testé aussi toutes les autres 
>>>>>>> versions) mais j'obtiens exactement le même message d'erreur mais 
>>>>>>> avec la version ssl différente :
>>>>>>> ssl_ciphers=ALL;ssl_version=tlsv1_2;use_tls=ldaps
>>>>>>> Mais on ne voit aucune connexion sur le serveur LDAP quand on utilise 
>>>>>>> le protocole ldaps via sympa alors que ça fonctionne en faisant un 
>>>>>>> ldapsearch en 636.
>>> -- 
>>> +-------------------------------------------------------------------+
>>>  Marianne BALANCHE                                          
>>>  Centre de Ressources Informatiques
>>>  Université de Franche-Comté
>>>  16, route de Gray
>>>  25030 Besançon Cedex  - FRANCE
>>>  Tél. : 03 81 66 61 19      Fax : 03 81 66 61 77
>>>  Mél : adresse@cachée
>>> +-------------------------------------------------------------------+
>>> 
>> 
>> 
> 
> -- 
> +-------------------------------------------------------------------+
>  Marianne BALANCHE                                    
>  Centre de Ressources Informatiques
>  Université de Franche-Comté
>  16, route de Gray
>  25030 Besançon Cedex  - FRANCE
>  Tél. : 03 81 66 61 19        Fax : 03 81 66 61 77
>  Mél : adresse@cachée
> +-------------------------------------------------------------------+
>