RE: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps

[Emile La Maison Du Peuple <adresse@cachée>]

Bonjour tout cela est bien,mais quand pourrons-nous utiliser votre serveur correctement ?

 

Provenance : Courrier pour Windows 10

 

De : Marianne BALANCHE (CRI)
Envoyé le :lundi 15 avril 2019 14:17
À : adresse@cachée
Objet :Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps

 

Re,

 

Je confirme que le fichier chaîne de certification est bien présent et

accessible en lecture pour tout le monde.

 

Le 15/04/2019 à 13:48, Frédéric Goudal a écrit :

> Bonjour,

> 

> Nous avions le même pb. J’ai été obligé de rajouter du log au niveau des modules Net::LDAP et IO::Socket::SSL plus un petit strace pour trouver la liste des pbs.

> 

> À noter que quand sympa ne trouve pas le module IO::Socket::SSL, il est sensé remonter un message, mais comme le chargement du module est optionnel, il échoue sur un simple message connexion refused.

> 

> Est-ce que le fichier chaîne de certification est présent, et accessible par les utilisateurs sympa (sympa + utilisateur du serveur web) ?

> 

> f.g.

> 

> 

>> Le 15 avr. 2019 à 12:57, Marianne BALANCHE (CRI) <adresse@cachée> a écrit :

>> 

>> Bonjour,

>> 

>> La connexion LDAP fonctionne mais pas la connexion LDAPS.

>> Au niveau logs il dit simplement qu'il ne peut pas se connecter au serveur.

>> On a testé toutes les versions SSL sans aucun succès.

>> Ce qui est étrange c'est que tout fonctionne avant la migration et après la migration plus rien ne fonctionne même la nouvelle liste créée.

>> 

>> 

>> Le 15/04/2019 à 11:24, Frédéric Goudal a écrit :

>>> Bonjour,

>>> 

>>> Est-ce que vous utilisez une connexion ldap ou ldaps ?

>>> Lors de notre récente migration nous avons eu pas mal de pb de débuggage de la connexion ldaps de sympa car aucun log précis n’est remonté sur l’échec de connexion.

>>> De notre côté les pbs étaient : mauvaise version de SSL demandée (marchait sur l’ancien serveur) + pb d’accés à la chaîne de certification.

>>> 

>>> f.g.

>>> 

>>> 

>>>> Le 15 avr. 2019 à 11:19, Marianne BALANCHE (CRI) <adresse@cachée> a écrit :

>>>> 

>>>> Bonjour,

>>>> 

>>>> Je reviens vers vous car j'ai de nouveau mon problème de mise à jour des abonnés via ldaps.

>>>> 

>>>> J'ai refait une installation d'une CentOS7 avec sympa.

>>>> J'ai créé une liste avec mise à jour des abonnés en ldaps et tout fonctionne.

>>>> Le serveur se connecte bien au ldap et la liste des abonnés est bien créée.

>>>> 

>>>> Je pensais que mon problème était réglé mais quand je transferts mes listes de l'ancien serveur (sympa version 5.4.7) vers le nouveau serveur (sympa version version 6.2.42) avec le sympa.pl --upgrade, plus rien de fonctionne.

>>>> Les anciennes listes ne se mettent pas à jour ni même la nouvelle liste que j'ai créé au départ.

>>>> J'ai le message d'erreur "Unable to connect to the LDAP server"

>>>> 

>>>> Cordialement

>>>> 

>>>> 

>>>> Le 04/04/2019 à 14:48, Marianne BALANCHE (CRI) a écrit :

>>>>> Bonjour,

>>>>> 

>>>>> J'ai résolu mon problème en refaisant une installation de la CentOS7 mais avec une version complète.

>>>>> La première fois j'avais utilisé une installation minimale.

>>>>> Donc on suppose que cela peut venir du fait qu'il manquait des paquets.

>>>>> 

>>>>> Merci pour votre aide.

>>>>> 

>>>>> Le 01/04/2019 à 22:55, Ph. Balse a écrit :

>>>>>> Bonjour,

>>>>>> 

>>>>>> Le 29/03/2019 à 11:30, Benoit Branciard a écrit :

>>>>>>> Si ça peut aider:

>>>>>>> 

>>>>>>> sur notre config Sympa qui est basée sur du Debian (Debian 7 précédemment, 9 maintenant), la bibliothèque LDAP/TLS utilisée par Sympa (à priori c'est Net::LDAP qui s'appuie sur OpenSSL) n'*accepte pas* les options de version TLS (ssl_version) telle qu'elles sont formulées par Sympa:  tlsv1_1 et tlsv1_2.

>>>>>>    Sur Debian 9, la bibliothèque LDAP dépend de GnuTLS:

>>>>>> 

>>>>>> # apt-rdepends libldap-2.4-2|grep -i tls

>>>>>> Reading package lists... Done

>>>>>> Building dependency tree

>>>>>> Reading state information... Done

>>>>>>    Depends: libgnutls30 (>= 3.5.6)

>>>>>> libgnutls30

>>>>>> 

>>>>>>    Ceci explique peut-être le problème.

>>>>>> 

>>>>>> 

>>>>>>    Cordialement

>>>>>> 

>>>>>>    Philippe

>>>>>> 

>>>>>>> J'ai dû patcher le source de Sympa (6.1) pour lui faire envoyer la syntaxe attendue par la bibliothèque, à savoir: tlsv11 et tlsv12 (sans le "_").

>>>>>>> 

>>>>>>> Je ne sais pas si cette syntaxe est spécifique à Debian, j'imagine que oui sinon le pb aurait été plus souvent remonté...

>>>>>>> 

>>>>>>> Quoi qu'il en soit, l'idéal serait de ne PAS avoir à spécifier cette option, et de laisser le client (Sympa) négocier avec le serveur (LDAP) la version de protocole la plus élevée qu'ils ont en commun; mais l'IHM de Sympa ne permet pas de laisser ce paramètre vide.

>>>>>>> 

>>>>>>> 

>>>>>>> Le 29/03/2019 à 09:57, Marianne BALANCHE (CRI) a écrit :

>>>>>>>> Bonjour,

>>>>>>>> 

>>>>>>>> Le but est de transférer notre vieux serveur de listes en 5.4.7 sur une dernière version de sympa plus à jour à tous les niveaux (fonctionnalités, sécurité, ...).

>>>>>>>> 

>>>>>>>> Notre serveur LDAP répond à la version TLS 1.2.

>>>>>>>> J'ai testé en mettant TLS v1_2 (j'ai testé aussi toutes les autres versions) mais j'obtiens exactement le même message d'erreur mais avec la version ssl différente :

>>>>>>>> ssl_ciphers=ALL;ssl_version=tlsv1_2;use_tls=ldaps

>>>>>>>> Mais on ne voit aucune connexion sur le serveur LDAP quand on utilise le protocole ldaps via sympa alors que ça fonctionne en faisant un ldapsearch en 636.

>>>> --

>>>> +-------------------------------------------------------------------+

>>>>   Marianne BALANCHE                                                                      

>>>>   Centre de Ressources Informatiques

>>>>   Université de Franche-Comté

>>>>   16, route de Gray

>>>>   25030 Besançon Cedex  - FRANCE

>>>>   Tél. : 03 81 66 61 19          Fax : 03 81 66 61 77

>>>>   Mél : adresse@cachée

>>>> +-------------------------------------------------------------------+

>>>> 

>>> 

>> --

>> +-------------------------------------------------------------------+

>>   Marianne BALANCHE                                                                           

>>   Centre de Ressources Informatiques

>>   Université de Franche-Comté

>>   16, route de Gray

>>   25030 Besançon Cedex  - FRANCE

>>   Tél. : 03 81 66 61 19               Fax : 03 81 66 61 77

>>   Mél : adresse@cachée

>> +-------------------------------------------------------------------+

>> 

> 

> 

 

--

+-------------------------------------------------------------------+

   Marianne BALANCHE                                                                               

   Centre de Ressources Informatiques

   Université de Franche-Comté

   16, route de Gray

   25030 Besançon Cedex  - FRANCE

   Tél. : 03 81 66 61 19    Fax : 03 81 66 61 77

   Mél : adresse@cachée

+-------------------------------------------------------------------+