Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Chronologique Discussions  
  • From: Frédéric Goudal <adresse@cachée>
  • To: adresse@cachée
  • Cc: Frédéric Goudal <adresse@cachée>
  • Subject: Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps
  • Date: Mon, 15 Apr 2019 13:48:31 +0200

Bonjour,

Nous avions le même pb. J’ai été obligé de rajouter du log au niveau des
modules Net::LDAP et IO::Socket::SSL plus un petit strace pour trouver la
liste des pbs.

À noter que quand sympa ne trouve pas le module IO::Socket::SSL, il est sensé
remonter un message, mais comme le chargement du module est optionnel, il
échoue sur un simple message connexion refused.

Est-ce que le fichier chaîne de certification est présent, et accessible par
les utilisateurs sympa (sympa + utilisateur du serveur web) ?

f.g.


> Le 15 avr. 2019 à 12:57, Marianne BALANCHE (CRI)
> <adresse@cachée> a écrit :
>
> Bonjour,
>
> La connexion LDAP fonctionne mais pas la connexion LDAPS.
> Au niveau logs il dit simplement qu'il ne peut pas se connecter au serveur.
> On a testé toutes les versions SSL sans aucun succès.
> Ce qui est étrange c'est que tout fonctionne avant la migration et après la
> migration plus rien ne fonctionne même la nouvelle liste créée.
>
>
> Le 15/04/2019 à 11:24, Frédéric Goudal a écrit :
>> Bonjour,
>>
>> Est-ce que vous utilisez une connexion ldap ou ldaps ?
>> Lors de notre récente migration nous avons eu pas mal de pb de débuggage
>> de la connexion ldaps de sympa car aucun log précis n’est remonté sur
>> l’échec de connexion.
>> De notre côté les pbs étaient : mauvaise version de SSL demandée (marchait
>> sur l’ancien serveur) + pb d’accés à la chaîne de certification.
>>
>> f.g.
>>
>>
>>> Le 15 avr. 2019 à 11:19, Marianne BALANCHE (CRI)
>>> <adresse@cachée> a écrit :
>>>
>>> Bonjour,
>>>
>>> Je reviens vers vous car j'ai de nouveau mon problème de mise à jour des
>>> abonnés via ldaps.
>>>
>>> J'ai refait une installation d'une CentOS7 avec sympa.
>>> J'ai créé une liste avec mise à jour des abonnés en ldaps et tout
>>> fonctionne.
>>> Le serveur se connecte bien au ldap et la liste des abonnés est bien
>>> créée.
>>>
>>> Je pensais que mon problème était réglé mais quand je transferts mes
>>> listes de l'ancien serveur (sympa version 5.4.7) vers le nouveau serveur
>>> (sympa version version 6.2.42) avec le sympa.pl --upgrade, plus rien de
>>> fonctionne.
>>> Les anciennes listes ne se mettent pas à jour ni même la nouvelle liste
>>> que j'ai créé au départ.
>>> J'ai le message d'erreur "Unable to connect to the LDAP server"
>>>
>>> Cordialement
>>>
>>>
>>> Le 04/04/2019 à 14:48, Marianne BALANCHE (CRI) a écrit :
>>>> Bonjour,
>>>>
>>>> J'ai résolu mon problème en refaisant une installation de la CentOS7
>>>> mais avec une version complète.
>>>> La première fois j'avais utilisé une installation minimale.
>>>> Donc on suppose que cela peut venir du fait qu'il manquait des paquets.
>>>>
>>>> Merci pour votre aide.
>>>>
>>>> Le 01/04/2019 à 22:55, Ph. Balse a écrit :
>>>>> Bonjour,
>>>>>
>>>>> Le 29/03/2019 à 11:30, Benoit Branciard a écrit :
>>>>>> Si ça peut aider:
>>>>>>
>>>>>> sur notre config Sympa qui est basée sur du Debian (Debian 7
>>>>>> précédemment, 9 maintenant), la bibliothèque LDAP/TLS utilisée par
>>>>>> Sympa (à priori c'est Net::LDAP qui s'appuie sur OpenSSL) n'*accepte
>>>>>> pas* les options de version TLS (ssl_version) telle qu'elles sont
>>>>>> formulées par Sympa: tlsv1_1 et tlsv1_2.
>>>>> Sur Debian 9, la bibliothèque LDAP dépend de GnuTLS:
>>>>>
>>>>> # apt-rdepends libldap-2.4-2|grep -i tls
>>>>> Reading package lists... Done
>>>>> Building dependency tree
>>>>> Reading state information... Done
>>>>> Depends: libgnutls30 (>= 3.5.6)
>>>>> libgnutls30
>>>>>
>>>>> Ceci explique peut-être le problème.
>>>>>
>>>>>
>>>>> Cordialement
>>>>>
>>>>> Philippe
>>>>>
>>>>>> J'ai dû patcher le source de Sympa (6.1) pour lui faire envoyer la
>>>>>> syntaxe attendue par la bibliothèque, à savoir: tlsv11 et tlsv12 (sans
>>>>>> le "_").
>>>>>>
>>>>>> Je ne sais pas si cette syntaxe est spécifique à Debian, j'imagine que
>>>>>> oui sinon le pb aurait été plus souvent remonté...
>>>>>>
>>>>>> Quoi qu'il en soit, l'idéal serait de ne PAS avoir à spécifier cette
>>>>>> option, et de laisser le client (Sympa) négocier avec le serveur
>>>>>> (LDAP) la version de protocole la plus élevée qu'ils ont en commun;
>>>>>> mais l'IHM de Sympa ne permet pas de laisser ce paramètre vide.
>>>>>>
>>>>>>
>>>>>> Le 29/03/2019 à 09:57, Marianne BALANCHE (CRI) a écrit :
>>>>>>> Bonjour,
>>>>>>>
>>>>>>> Le but est de transférer notre vieux serveur de listes en 5.4.7 sur
>>>>>>> une dernière version de sympa plus à jour à tous les niveaux
>>>>>>> (fonctionnalités, sécurité, ...).
>>>>>>>
>>>>>>> Notre serveur LDAP répond à la version TLS 1.2.
>>>>>>> J'ai testé en mettant TLS v1_2 (j'ai testé aussi toutes les autres
>>>>>>> versions) mais j'obtiens exactement le même message d'erreur mais
>>>>>>> avec la version ssl différente :
>>>>>>> ssl_ciphers=ALL;ssl_version=tlsv1_2;use_tls=ldaps
>>>>>>> Mais on ne voit aucune connexion sur le serveur LDAP quand on utilise
>>>>>>> le protocole ldaps via sympa alors que ça fonctionne en faisant un
>>>>>>> ldapsearch en 636.
>>> --
>>> +-------------------------------------------------------------------+
>>> Marianne BALANCHE
>>> Centre de Ressources Informatiques
>>> Université de Franche-Comté
>>> 16, route de Gray
>>> 25030 Besançon Cedex - FRANCE
>>> Tél. : 03 81 66 61 19 Fax : 03 81 66 61 77
>>> Mél : adresse@cachée
>>> +-------------------------------------------------------------------+
>>>
>>
>>
>
> --
> +-------------------------------------------------------------------+
> Marianne BALANCHE
> Centre de Ressources Informatiques
> Université de Franche-Comté
> 16, route de Gray
> 25030 Besançon Cedex - FRANCE
> Tél. : 03 81 66 61 19 Fax : 03 81 66 61 77
> Mél : adresse@cachée
> +-------------------------------------------------------------------+
>





Archives gérées par MHonArc 2.6.19+.

Haut de le page