[RISOLTO] Problema di autenticazione LdapS

Domande sul server WAPT / Richieste e assistenza relative al server WAPT
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Bloccato
Houg
Messaggi: 7
Registrazione: 2 luglio 2020 - 9:59

2 luglio 2020 - 10:18

Ciao a tutti.
Per il passaggio a wapt enterprise, sto attualmente configurando il nostro nuovo server (su Debian).
Tutto ciò che mi resta da fare è l'autenticazione della console con LdapS.
Ed è qui che mi sono bloccato... Ho seguito le istruzioni alla lettera...

Autenticazione con sessione locale: OK
Autenticazione LDAP (non S): OK (la richiesta di connessione è chiaramente visibile nel server AD)
Autenticazione LDAP: non funzionante => tuttavia, non è presente alcuna richiesta di connessione nel server AD.
Tuttavia, su AD, il certificato viene installato correttamente con un'autorità nota.
Per sicurezza, ho aggiunto questa autorità al server WAPT. Nessuna modifica...:

Codice: Seleziona tutto

sudo cp TERENACA.crt /usr/local/share/ca-certificates
sudo update-ca-certificates
Una connessione telnet sulla porta 636 (ldapS) dal mio server wapt al mio server AD è funzionante.
(A proposito, questo mi ricorda che la documentazione afferma che la porta LdapS predefinita è 646, mentre in realtà è 636) :D )

Ecco il mio waptserver.ini (reso anonimo):
[opzioni]
waptwua_folder = /var/www/waptwua
server_uuid = XXXXXXXXXXX
clients_signing_key = XXXXXXXXXXX
clients_signing_certificate = XXXXXXXXXXX
wapt_password = XXXXXXXXXXX
allow_unauthenticated_connect = False
secret_key = XXXXXXXXXXX
use_kerberos = True
wapt_huey_db = /opt/wapt/db/waptservertasks.sqlite

wapt_admin_group_dn=CN=group,CN=Users,DC=mydomain,DC=fr
ldap_auth_server=myserver.mydomain.fr
ldap_auth_base_dn=OU=mygroup,DC=mydomain,DC=fr
ldap_auth_ssl_enabled=True


Ecco il risultato di /opt/wapt/runwaptserver.sh -ldebug durante l'identificazione:
2020-07-02 10:08:45,001 [waptserver ] DEBUG (3174) accettato ('127.0.0.1', 59294)
2020-07-02 10:08:45,002 [root ] DEBUG Utilizzo di monserver.mondomaine.fr come server ldap di autenticazione
2020-07-02 10:08:45,003 [root ] DEBUG Utilizzo di OU=mongroup,DC=mondomaine,DC=fr come DN di base
2020-07-02 10:08:45,003 [root ] DEBUG utilizzo del dc monserver.mondomaine.fr per l'autenticazione, con DN di base OU=mongroup,DC=mondomaine,DC=fr e nome utente di bind monlogin@mondomaine.fr
2020-07-02 10:08:45,003 [root ] DEBUG Utilizzo di ldaps per l'autenticazione
2020-07-02 10:08:45,012 [waptserver ] INFO ip.de.mon.AD,127.0.0.1 - - [02/lug/2020 10:08:45] "POST /api/v3/login HTTP/1.0" 401 324 0.009679
2020-07-02 10:08:47,625 [waptserver ] INFO wsgi in uscita
2020-07-02 10:08:47,625 [waptserver ] INFO (3174) wsgi terminato, is_accepting=True
2020-07-02 10:08:47,625 [waptserver] INFO Waptserver arrestato
Beh... non sono esattamente un esperto di registri, ma in questo caso non vedo...
La console non si connette

Grazie in anticipo !!
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

2 luglio 2020 - 17:10

Puoi fare un test come questo:

Codice: Seleziona tutto

apt install ldap-utils
ldapsearch -x -H ldap://srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -b dc=mydomain,dc=lan -W
Ciò consente di effettuare un test senza passare da Wapt.

Dopo l'ordine

Codice: Seleziona tutto

sudo update-ca-certificates
Il tuo certificato dovrebbe trovarsi in /etc/ssl/certs
Alto
Houg
Messaggi: 7
Registrazione: 2 luglio 2020 - 9:59

3 luglio 2020 - 8:32

Buongiorno,

Come descritto nel post, la connessione LDAP funziona... Ho testato diversi parametri ldapsearch prima di postare sul forum (ho dimenticato di menzionarlo).
Quindi questa riga è funzionale (una leggera variazione per mostrare chiaramente la porta indicata):
ldapsearch -x -h srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -p 389 -b dc=mydomain,dc=lan -W
Inserisci la password LDAP:
[...]
# risultato della ricerca
ricerca: 3
risultato: 4 Limite di dimensione superato
[...]

Ma se specifico la porta 636, non è più la stessa cosa.
ldapsearch -x -h srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -p 636 -b dc=mydomain,dc=lan -W
ldap_start_tls: Impossibile contattare il server LDAP (-1)
Inserire la password LDAP:
ldap_sasl_bind(SIMPLE): Impossibile contattare il server LDAP (-1)
Vorrei sottolineare che LdapS è funzionante su AD => telnet sulla porta 636 è funzionante + funziona anche lo strumento ldp.exe di Microsoft (tramite un altro server).

Per quanto riguarda il certificato, sì, è effettivamente disponibile in /etc/ssl/certs. Inoltre, si tratta di un'autorità di certificazione pubblica, quindi già presente di default.



MODIFICA: Problema risolto, o meglio aggirato => Ho specificato un Active Directory diverso e funziona....
Alto
Bloccato

Torna a "Server WAPT"


  • Per andare oltre con WAPT