[RESOLU] Problème authentification LdapS

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Houg
Messages : 4
Inscription : 02 juil. 2020 - 09:59

02 juil. 2020 - 10:18

Bonjour à vous.
Pour le passage à wapt entreprise, je suis actuellement sur la configuration de notre nouveau serveur (sur debian).
Il ne me reste que l’authentification à la console avec LdapS.
Et là, ça coince…. J’ai pourtant bien suivi la doc…

Authentification avec la session locale : ok
Authentification ldap (non S) : ok (on voit bien la demande de connexion dans le serveur AD)
Authentification LDAPs : ne fonctionne pas => par contre, là, pas de demande de co dans le serveur AD.
Pourtant, sur l’AD, le certificat est bien installé avec une autorité connue.
Dans le doute, j’ai rajouté cette autorité sur le serveur wapt. Pas de changements… :

Code : Tout sélectionner

sudo cp TERENACA.crt /usr/local/share/ca-certificates
sudo update-ca-certificates
Un telnet sur le port 636 (ldapS) depuis mon serveur wapt vers mon serveur AD est fonctionnel.
(d’ailleurs, cela me fait penser que dans la doc, il est indiqué que le port LdapS par défaut est 646 alors que c'est le 636 :D )

Voici mon waptserver.ini (anonymisé):
[options]
waptwua_folder = /var/www/waptwua
server_uuid = XXXXXXXXXXX
clients_signing_key = XXXXXXXXXXX
clients_signing_certificate = XXXXXXXXXXX
wapt_password = XXXXXXXXXXX
allow_unauthenticated_connect = False
secret_key = XXXXXXXXXXX
use_kerberos = True
wapt_huey_db = /opt/wapt/db/waptservertasks.sqlite

wapt_admin_group_dn=CN=goupe,CN=Users,DC=mondomaine,DC=fr
ldap_auth_server=monserver.mondomaine.fr
ldap_auth_base_dn=OU=mongroup,DC=mondomaine,DC=fr
ldap_auth_ssl_enabled=True


Voici le résultat de /opt/wapt/runwaptserver.sh -ldebug lors de l’identification :
2020-07-02 10:08:45,001 [waptserver ] DEBUG (3174) accepted ('127.0.0.1', 59294)
2020-07-02 10:08:45,002 [root ] DEBUG Using monserver.mondomaine.fr as authentication ldap server
2020-07-02 10:08:45,003 [root ] DEBUG Using OU=mongroup,DC=mondomaine,DC=fr as base DN
2020-07-02 10:08:45,003 [root ] DEBUG using dc monserver.mondomaine.fr for authentication, with base DN OU=mongroup,DC=mondomaine,DC=fr and bind username monlogin@mondomaine.fr
2020-07-02 10:08:45,003 [root ] DEBUG Using ldaps for authentication
2020-07-02 10:08:45,012 [waptserver ] INFO ip.de.mon.AD,127.0.0.1 - - [02/Jul/2020 10:08:45] "POST /api/v3/login HTTP/1.0" 401 324 0.009679
2020-07-02 10:08:47,625 [waptserver ] INFO wsgi exiting
2020-07-02 10:08:47,625 [waptserver ] INFO (3174) wsgi exited, is_accepting=True
2020-07-02 10:08:47,625 [waptserver ] INFO Waptserver stopped
Voilà... Je ne suis pas forcément très callé sur les logs, mais là, je ne vois pas...
La console ne se connecte pas

Merci d'avance !!
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

02 juil. 2020 - 17:10

Vous pouvez faire un test comme ceci:

Code : Tout sélectionner

apt install ldap-utils
ldapsearch -x -H ldap://srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -b dc=mydomain,dc=lan -W
Ceci permet de faire un test sans passer par wapt

Après la commande

Code : Tout sélectionner

sudo update-ca-certificates
votre certificat doit se retrouver dans /etc/ssl/certs
Houg
Messages : 4
Inscription : 02 juil. 2020 - 09:59

03 juil. 2020 - 08:32

Bonjour,

Comme décrit dans le post, la connexion Ldap fonctionne... j'ai testé différents paramètres ldapsearch avant de poster sur le forum (j'ai oublié de le préciser),
donc cette ligne est fonctionnelle (un petite variante pour bien montrer le port indiqué) :
ldapsearch -x -h srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -p 389 -b dc=mydomain,dc=lan -W
Enter LDAP Password:
[...]
# search result
search: 3
result: 4 Size limit exceeded
[...]

Mais, si je précise le port 636, ce ne l'est plus.
ldapsearch -x -h srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -p 636 -b dc=mydomain,dc=lan -W
ldap_start_tls: Can't contact LDAP server (-1)
Enter LDAP Password:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Je précise, que le LdapS est fonctionnel sur l'AD => telnet sur le 636 fonctionnel + outil ldp.exe de chez Microsoft (via un autre serveur) fonctionne également.

Pour le Certificat, oui oui il est bien dispo dans /etc/ssl/certs. De plus, c'est une autorité de certification publique, qui, à la base est donc déjà présente.



EDIT : problème résolu, enfin plutôt contourné => j'ai indiqué un autre AD et cela fonctionne....
Verrouillé