[RESOLU] LDAP depuis un accès externe

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/sme-server/.

[RESOLU] LDAP depuis un accès externe

Message par Rico » 23 Jan 2012 22:10

Bonjour

Mon SME 7.5 est en mode serveur seul

J'ai configurer le carnet d'adresse de Thunderbird pour accéder a l'annuaire LDAP de mon SME
cela fonctionne bien quand je suis sur le LAN.

Si je me situe a l'extérieur il m'est impossible de joindre mon annuaire LDAP. :|
Pour info j'ai une IP publique FIxe et une liveboxpro. J'ai bien redirigé le port LDAP dans la box.

A mon avis il doit y avoir une restriction dans la config su SME.

Merci de vos conseils
Dernière édition par Rico le 02 Fév 2012 22:34, édité 1 fois.
Rico
 
Message(s) : 13
Inscription : 23 Jan 2012 21:56

Re: LDAP depuis un accès externe

Message par Franck78 » 23 Jan 2012 23:45

Hello,

on aurait préferé lire

"Sur la SME, un tcpdump me montre bien le début de connexion en provenance du client externe (SYN) et rien d'autre" pour affirmer qu'il y a une restriction dans la SME !

bye
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: LDAP depuis un accès externe

Message par jibe » 23 Jan 2012 23:55

Salut,

Rico a écrit :A mon avis il doit y avoir une restriction dans la config su SME.

Oui, bon. C'est donc une info que tu nous donnes ? Je ne vois aucune question ???

A mon avis à moi, si il a une restriction quelconque, elle doit être mentionnée dans la documentation.

Soit le problème est très mal présenté, soit il y a un manque de recherche préalable, soit les deux.

Merci de lire la charte et les conseils donnés dans le wiki, particulièrement ceux de cette page...
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: LDAP depuis un accès externe

Message par Rico » 02 Fév 2012 20:20

Bonjour

Je n’affirme pas q'"il y ai une restriction, je pense.

ci dessous, voici ce que donne un TCPDUMP lorsque j'essaye d'interroger mon annuaire ldap depuis l'extérieur.

[root@sme ~]# tcpdump port 389 -v
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
20:09:02.875319 IP (tos 0x0, ttl 118, id 30818, offset 0, flags [DF], proto 6, length: 52) XXX.XXX.XXX.XXX.rev.sfr.net.50207 > sme.toto.dyndns.org.ldap: S [tcp sum ok] 2370871662:2370871662(0) win 8192 <mss 1452,nop,wscale 2,nop,nop,sackOK>
20:09:02.876068 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto 6, length: 52) sme.toto.dyndns.org.ldap > XXX.XXX.XXX.XXX.rev.sfr.net.50207: S [tcp sum ok] 3322304837:3322304837(0) ack 2370871663 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 2>
20:09:02.989543 IP (tos 0x0, ttl 118, id 30819, offset 0, flags [DF], proto 6, length: 40) XXX.XXX.XXX.XXX.rev.sfr.net.50207 > sme.toto.dyndns.org.ldap: . [tcp sum ok] ack 1 win 4356
20:09:02.989827 IP (tos 0x0, ttl 64, id 28098, offset 0, flags [DF], proto 6, length: 40) sme.toto.dyndns.org.ldap > XXX.XXX.XXX.XXX.rev.sfr.net.50207: F [tcp sum ok] 1:1(0) ack 1 win 1460
20:09:02.995227 IP (tos 0x0, ttl 118, id 30820, offset 0, flags [DF], proto 6, length: 54) XXX.XXX.XXX.XXX.rev.sfr.net.50207 > sme.toto.dyndns.org.ldap: P [tcp sum ok] 1:15(14) ack 1 win 4356
20:09:02.995247 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto 6, length: 40) sme.toto.dyndns.org.ldap > XXX.XXX.XXX.XXX.rev.sfr.net.50207: R [tcp sum ok] 3322304838:3322304838(0) win 0
20:09:03.111257 IP (tos 0x0, ttl 118, id 30825, offset 0, flags [DF], proto 6, length: 40) XXX.XXX.XXX.XXX.rev.sfr.net.50207 > sme.toto.dyndns.org.ldap: . [tcp sum ok] ack 2 win 4356
20:09:03.111270 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto 6, length: 40) sme.toto.dyndns.org.ldap > XXX.XXX.XXX.XXX.rev.sfr.net.50207: R [tcp sum ok] 3322304839:3322304839(0) win 0


Cela ne me renvoie aucun résultat, alors que en local ça fonctionne.
Avez vous une idée d’où ça coince ?

Merci de vos conseils?
Rico
 
Message(s) : 13
Inscription : 23 Jan 2012 21:56

Re: LDAP depuis un accès externe

Message par Rico » 02 Fév 2012 22:34

Je répond a moi même.

Le log TCPDUMP montre qu'il y a bien des paquets qui vont dans les deux sens. (donc pas de problème de routage ou de NAT).

En explorant tout simplement le var/log/message, j'ai trouvé cette ligne.
slapd[3919]: fd=16 DENIED from unknown (XXX.XXX.XXX.XXX)


Mon IP XXX.XXX.XXX.XXX est inconnue donc demande refusée, il y aurais bien une restriction de base dans le SME.

Je continue en éditant le fichier /etc/hosts.allow et là BINGO
slapd: 127.0.0.1 192.168.2.0/255.255.255.0


Je relis le wiki sur les templates et je me lance...
création du fichier /etc/e-smith/templates-custom/etc/hosts.allow/ldap contenant la ligne
slapd: ALL


je lance la commande : expand-template /etc/hosts.allow

et HOP ça fonctionne, mon carnet d'adresse LDAP est consultable depuis l'extérieur.
Rico
 
Message(s) : 13
Inscription : 23 Jan 2012 21:56

Re: [RESOLU] LDAP depuis un accès externe

Message par jibe » 02 Fév 2012 22:43

Salut,

Bravo et merci d'avoir donné la solution :D

Comme quoi, un problème abordé de la bonne manière n'est généralement pas si difficile que ça à résoudre ;)

Rico a écrit :Je n’affirme pas q'"il y ai une restriction, je pense.

Je pense que tu as compris qu'il ne s'agissait pas d'un reproche, mais d'une invitation à étudier ça de plus près plutôt que se limiter à une conclusion hâtive !
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: [RESOLU] LDAP depuis un accès externe

Message par unnilennium » 02 Fév 2012 22:51

alternativement la façon SME pour configurer le service ldap

1- on vérifie la configuration
Code : Tout sélectionner
# db configuration show ldap
ldap=service
    TCPPort=389
    access=private
    defaultCity=Ottawa
    defaultCompany=XYZ Corporation
    defaultDepartment=Main
    defaultPhoneNumber=555-5555
    defaultStreet=123 Main Street
    status=enabled


2- on modifie pour l’extérieur, donc on change l'option "access" de "private" à "public"

Code : Tout sélectionner
db configuration setprop access public
signal-event  ldap-update

( un simple expand-template /etc/hosts.allow peut peut être suffire, mais dans certain cas il y a aussi une configuration au niveau du service sur qui écouter)


voila la façon de procéder pour tous les services déclarés dans le fichier config.
unnilennium
 
Message(s) : 218
Inscription : 28 Nov 2011 19:32
Localisation : Québec, QC, Canada

Re: [RESOLU] LDAP depuis un accès externe

Message par jibe » 02 Fév 2012 23:05

Salut,

Effectivement, j'aurais dû y penser ! Merci de ta vigilence, unnilennium !

J'étais si content d'avoir vu Rico aborder le problème d'une bien meilleure manière qu'au départ, que j'en ai omis de vérifier si la solution trouvée était bien la meilleure :oops:

Je pense quand même qu'on peut dire que la solution de Rico, si elle n'est pas la meilleure et la plus élégante, respecte malgré tout "l'esprit SME" et que "it does the job".
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: [RESOLU] LDAP depuis un accès externe

Message par Franck78 » 02 Fév 2012 23:15

sme.toto.dyndns.org.ldap > XXX.XXX.XXX.XXX.rev.sfr.net.50207: R


Le R (reset) émis dès le début par le serveur prouve bien que la comm entre client et serveur est fonctionnelle. Restait donc à déterminer pourquoi le serveur était chatouilleux, quasi certainement un réglage de base.

bye
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: [RESOLU] LDAP depuis un accès externe

Message par unnilennium » 03 Fév 2012 03:38

Pour en finir


sa solution serait par exemple intéressante s'il voulait définir un sous réseau ou une ip en particulier à qui il ne voudrait autoriser que LDAP.

Code : Tout sélectionner
slapd: 127.0.0.1 192.168.2.0/255.255.255.0  IP.IP.IP.IP



une alternative pour permettre a un sous réseau en particulier (ou ip) d’accéder a tous les services de la SME (dont LDAP) est de rajouter ceci dans les réseaux locaux sur le server-manager.

voila on a fait le tour.


JP
unnilennium
 
Message(s) : 218
Inscription : 28 Nov 2011 19:32
Localisation : Québec, QC, Canada


Retour vers SME

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron