Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa
Archives de la liste
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps
- From: Benoit Branciard <adresse@cachée>
- To: adresse@cachée, "Marianne BALANCHE (CRI)" <adresse@cachée>
- Subject: Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps
- Date: Fri, 19 Apr 2019 18:59:04 +0200
Bonjour,
nous avons patché le fichier list.pm.
Ci-joint le patch à appliquer sur l'arborescence source avant installation (make / make install).
Ce patch est pour la version 6.1.25 de Sympa, sur un Debian 9 (OpenSSL 1.0.1t, libio-socket-ssl-perl 1.76-2).
Je n'ai pas vérifié si ce problème de libellé de ssl_version se présente de la même façon en Sympa 6.2, ni avec une autre variante de Linux (CentOS, etc). En tout cas nous on l'a depuis pas mal de temps sous Debian (au moins depuis Debian 6 !).
Pour info avant de faire le "grand saut" en Sympa 6.2 on a poussé à bout notre 6.1, en y ajoutant plusieurs patches pour combler ses lacunes (notamment la gestion du DMARC); mais c'est un autre pb.
Le 01/04/2019 à 17:27, Marianne BALANCHE (CRI) a écrit :
Ça peut peut-être aider.
Vous avez patché quel fichier source de Sympa ?
Merci
Le 29/03/2019 à 11:30, Benoit Branciard a écrit :
Si ça peut aider:
sur notre config Sympa qui est basée sur du Debian (Debian 7 précédemment, 9 maintenant), la bibliothèque LDAP/TLS utilisée par Sympa (à priori c'est Net::LDAP qui s'appuie sur OpenSSL) n'*accepte pas* les options de version TLS (ssl_version) telle qu'elles sont formulées par Sympa: tlsv1_1 et tlsv1_2.
J'ai dû patcher le source de Sympa (6.1) pour lui faire envoyer la syntaxe attendue par la bibliothèque, à savoir: tlsv11 et tlsv12 (sans le "_").
Je ne sais pas si cette syntaxe est spécifique à Debian, j'imagine que oui sinon le pb aurait été plus souvent remonté...
Quoi qu'il en soit, l'idéal serait de ne PAS avoir à spécifier cette option, et de laisser le client (Sympa) négocier avec le serveur (LDAP) la version de protocole la plus élevée qu'ils ont en commun; mais l'IHM de Sympa ne permet pas de laisser ce paramètre vide.
Le 29/03/2019 à 09:57, Marianne BALANCHE (CRI) a écrit :
Bonjour,
Le but est de transférer notre vieux serveur de listes en 5.4.7 sur une dernière version de sympa plus à jour à tous les niveaux (fonctionnalités, sécurité, ...).
Notre serveur LDAP répond à la version TLS 1.2.
J'ai testé en mettant TLS v1_2 (j'ai testé aussi toutes les autres versions) mais j'obtiens exactement le même message d'erreur mais avec la version ssl différente :
ssl_ciphers=ALL;ssl_version=tlsv1_2;use_tls=ldaps
Mais on ne voit aucune connexion sur le serveur LDAP quand on utilise le protocole ldaps via sympa alors que ça fonctionne en faisant un ldapsearch en 636.
--
Benoit BRANCIARD
Service InfraStructures (SIS)
Direction du Système d'Information et des Usages Numériques (DSIUN)
Université Paris 1 Panthéon-Sorbonne
Centre Pierre Mendès France
90 rue de Tolbiac - 75634 Paris cedex 13 - France
Bur. B406 - Tél +33 1 44 07 89 68 - Fax +33 1 44 07 89 66
Accueil: +33 1 44 07 89 65 - adresse@cachée
http://dsi.univ-paris1.fr
--- ./src/lib/List.pm.orig 2016-05-11 17:52:13.000000000 +0200 +++ ./src/lib/List.pm 2019-02-26 17:45:04.926621223 +0100 @@ -877,14 +877,14 @@ 'gettext_id' => 'use SSL (LDAPS)', 'order' => 2.5, }, - 'ssl_version' => {'format' => ['sslv2','sslv3','tlsv1','tlsv1_1','tlsv1_2'], - 'synonym' => {'tls' => 'tlsv1'}, - 'default' => 'sslv3', + 'ssl_version' => {'format' => ['tlsv1','tlsv11','tlsv12','tlsv13'], + 'synonym' => {'sslv2' => 'tlsv1', 'sslv3' => 'tlsv1', 'tls' => 'tlsv1', 'tlsv1_1' => 'tlsv11', 'tlsv1_2' => 'tlsv12'}, + 'default' => 'tlsv12', 'gettext_id' => 'SSL version', 'order' => 2.5, }, 'ssl_ciphers' => {'format' => '.+', - 'default' => 'ALL', + 'default' => 'HIGH', 'gettext_id' => 'SSL ciphers used', 'order' => 2.5, }, @@ -1002,14 +1002,14 @@ 'gettext_id' => 'use SSL (LDAPS)', 'order' => 2.5, }, - 'ssl_version' => {'format' => ['sslv2','sslv3','tlsv1','tlsv1_1','tlsv1_2'], - 'synonym' => {'tls' => 'tlsv1'}, - 'default' => 'sslv3', + 'ssl_version' => {'format' => ['tlsv1','tlsv11','tlsv12','tlsv13'], + 'synonym' => {'sslv2' => 'tlsv1', 'sslv3' => 'tlsv1', 'tls' => 'tlsv1', 'tlsv1_1' => 'tlsv11', 'tlsv1_2' => 'tlsv12'}, + 'default' => 'tlsv12', 'gettext_id' => 'SSL version', 'order' => 2.5, }, 'ssl_ciphers' => {'format' => '.+', - 'default' => 'ALL', + 'default' => 'HIGH', 'gettext_id' => 'SSL ciphers used', 'order' => 2.5, }, @@ -1579,11 +1579,10 @@ 'no' => {'gettext_id' => 'no'}, # include_ldap_2level_query.ssl_version, include_ldap_query.ssl_version - 'sslv2' => {'gettext_id' => 'SSL version 2'}, - 'sslv3' => {'gettext_id' => 'SSL version 3'}, 'tlsv1' => {'gettext_id' => 'TLS version 1'}, - 'tlsv1_1' => {'gettext_id' => 'TLS version 1.1'}, - 'tlsv1_2' => {'gettext_id' => 'TLS version 1.2'}, + 'tlsv11' => {'gettext_id' => 'TLS version 1.1'}, + 'tlsv12' => {'gettext_id' => 'TLS version 1.2'}, + 'tlsv13' => {'gettext_id' => 'TLS version 1.3'}, # editor.reception, owner_include.reception, owner.reception, # editor_include.reception
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Marianne BALANCHE (CRI), 01/04/2019
- Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps, Benoit Branciard, 19/04/2019
- <Suite(s) possible(s)>
- Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps, Marianne BALANCHE (CRI), 01/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Ph. Balse, 01/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Marianne BALANCHE (CRI), 04/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Marianne BALANCHE (CRI), 15/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Frédéric Goudal, 15/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Marianne BALANCHE (CRI), 15/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Frédéric Goudal, 15/04/2019
- Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps, Marianne BALANCHE (CRI), 15/04/2019
- RE: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps, Emile La Maison Du Peuple, 16/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Frédéric Goudal, 15/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Marianne BALANCHE (CRI), 15/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Frédéric Goudal, 15/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Marianne BALANCHE (CRI), 15/04/2019
-
Re: [sympa-fr] Pb de mise à jour des abonnés via une source de données en ldaps,
Marianne BALANCHE (CRI), 04/04/2019
Archives gérées par MHonArc 2.6.19+.