root@DB:/etc/ldap# cat /proc/version
Linux version 3.2.0-4-amd64 (debian-kernel@lists.debian.org)(gcc version 4.6.3 (Debian 4.6.3-14))#1 SMP Debian 3.2.60-1+deb7u3
root@DB:/etc/ldap# uname -a
Linux DB 3.2.0-4-amd64 #1 SMP Debian 3.2.60-1+deb7u3 x86_64 GNU/Linux
root@DB:/etc/ldap# cat /etc/debian_version
7.6
Merci de vos réponses, je vais répondre aux deux directement :
@Jean-Yves : Je n'utilise pas de slapd.conf (hormis celui dans /etc/default/) dont le contenu est déjà posté dans mon 1er post.
@Bernez : Concernant le port, c'est une erreur de ma part, j'ai bien effectué le test sur le port 636, et j’obtiens le même résultat : (note : le STARTTLS sur le port 389 semble fonctionner correctement)
root@DB:/etc/ldap# openssl s_client -connect db.m0le.net:636 -state -showcerts -CAfile /etc/ldap/cacert.pem
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:unknown state
140639336564392:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 308 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---
Et effectivement, le certtool était/semble nécessaire, un ldd $(which slapd) m'indique bien du gnutls.
Mais, pas d'amélioration :(
Note : J'ai essayé d'enlever "olcSSL.ldif" (en remplacant les "add" par des "remove"), et là, au moins, je peux lancer mon deamon slapd correctement (pas d'erreur : main: TLS init def ctx failed: -1 )
On m'a posé la question du handshake, mais la commande openssl en utilisant -prexit ou -msg ou même en spécifiant -tls1 ou -ssl3, rien n'y fait/ne m'aide.
root@DB:/etc/ldap/cert_old# openssl s_client -prexit -connect db.m0le.net:636 -state
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:unknown state
140642600560296:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 308 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 308 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---
root@DB:/etc/ldap/cert_old# openssl s_client -tls1 -connect db.m0le.net:636 -state [32/1540]
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv3 write client hello A
SSL_connect:failed in SSLv3 read server hello A
140083957143208:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1410423787
Timeout : 7200(sec)
Verify return code: 0(ok)
---
root@DB:/etc/ldap/cert_old# openssl s_client -ssl3 -connect db.m0le.net:636 -state [1/1540]
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv3 write client hello A
SSL_connect:failed in SSLv3 read server hello A
140624822658728:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1410423801
Timeout : 7200(sec)
Verify return code: 0(ok)
---
Merci pour tes indications koopa. Mais si je comprend la théorie de la mémoire partagé, je vois mal comment l’exécuter ?!
mount -o remount,size=8G /dev/shm
et un dd vers /dev/shm par exemple ?!
Au niveau des tampons, c'etait ce que j'ai pu avoir de plus ""stable"", plus petit, les gros transferts commencait la même histoire des IO. de Cette facon, ca me permet de n'avoir pas trop de souci pour les "moyens transferts" de l'ordre de 4/5Go.
Enfin, je vais regarder du coté des jumbo frame car je ne savais pas qu'on pouvait le configurer pour xen (mais si tu as une piste, je suis preneur :) ).
Je sais pas si le NFS (entre mes vm xen) passe par la carte réseau, en tout cas, les i/o sur ma machine hote ne s'affole pas du tout !
Du coup, est-ce possible ? peut-on limiter ca ? vu que c'est des process apache, je peux peut-être y arriver en limitant www-data, mais ca n'arrangera pas tout :/
Alors, oui, les VMs sont sur les mêmes disque physique.
Je ne comprend pas bien ton "lire / transfert / recup / réécrit" puisque le DD se fait sur WEB et s'écrit sur DATA. donc c'est de l'écriture direct sur DATA depuis WEB non ?!
Je ne comprend pas bien ce que tu entends par "regarde les waits et les iotop dans mon dom0", ma machine host n'affiche rien dans iotop et la charge est quasi nul …
Enfin, l'idée n'est pas de limiter le nombre de daemon nfs, mais de limiter l'encombrement que peut faire 1 process. Car du coup, comme DD bouffe 99% (en gros), il n'y a plus de place pour mysql/apache etc … (toutes mes autres applis freeze).
Au niveau des buffers, j'y ai pensé, mais ne vais-je pas perdre en qualité de transfert pour les petits fichiers ?! Pour l'instant, je suis en rsize=131072,wsize=131072 qui est déjà assez élevé !
Merci pour le plugin (que je ne vais pas utiliser cela dit).
Concernant la config, l'idée était de me passer d'un vrai mta (sendmail/exim etc ..)
msmtp rempli parfaitement l'affaire !
Prenons un exemple (concret/courant) : wordpress : Je ne trouve nul part ou renseigner un serveur SMTP ?!
Et le problème se pose pour chaque fonction "mail()" de php appelé. J'aimerais utiliser "directement" mon serveur mail.
Je comprend bien qu'il me faut "quelques chose" qui fasse le liens entre WEB et MAIL, mais quoi ? J'ai l'impression que sendmail se place en serveur d'envoie, au même titre que postfix. J'aimerais pour ma part, renseigner le système de façon à dire, chaque utilisation de mail(), renvoie vers MAIL (la VM/mon serveur de mail).
Après quelques test (j'ai testé les deux, histoire d'être sur), Il semblerait que les deux discutes bien …
Aurait-il un moyen d'activer le debug ?
Je vois bien mes mails arriver, être traité par l'antispam, attribué en non-spam, avoir un beau :
==> /var/log/dspam/dspam.debug <==
18622: [10/30/2013 20:19:03] DSPAM Instance Shutdown. Exit Code: 0
18622: [10/30/2013 20:19:03] checking trusted user list for dspam(109)
==> /var/log/mail.log <==
Oct 30 19:19:03 localhost postfix/lmtp[18660]: 119CB400F5: to=<nono@m0le.net>, relay=127.0.0.1[127.0.0.1]:2424, delay=0.22, delays=0.13/0/0.05/0.05, dsn=2.6.0, status=sent (250 2.6.0 <nono@m0le.net> Message accepted for delivery)
Oct 30 19:19:03 localhost postfix/qmgr[25604]: 119CB400F5: removed
Mes mails n'arrivent jamais dans ma boite de réception :/
Peut-être sieve ? lmtp ? malgré tout dspam qui communique mal avec le maildir des utilisateurs ?
Je suis tout nue sans log et il m'avait semblé avoir tout activé !
Bon, j'ai encore eu le souci, mais je vais attribuer ca à ma config …
Pour résoudre le souci (dans le cas ou quelqu'un l'aurait) :
Sauvegarde complet de profil 24 (via MozBackup)
Désinstallation TOTALE de Firefox 24 (avec les données)
Installation de la 25
Restauration du profil 24 (via MozBackup toujours).
Suis-je le seul à avoir mon profil non-sauvegardé par défaut, lors du passage de la 24 à la 25 ?
De plus, même en restaurant une sauvegarde (via MozBackup) de ma 24 vers ma 25 : Rien. Pas d'onglet, de cookies, de mot de passe sauvegardé ?!
On configure l’hôte et le port sur lesquels tourne le MDA :
#Send scanned mail via lmtp
DeliveryProto LMTP
DeliveryHost 127.0.0.1
DeliveryPort 24
DeliveryIdent localhost
Seul endroit où est indiqué le port 24, n'est-ce pas le port 2424 ?
Étant derrière un nat, dois-je FWD également le port 24 vers ma VM MAIL?!
Le fin mot de l'histoire …
Lors d'un reconfigure (ou d'un reinstall) de slapd, je n'avais pas gaffe au fait qu'il prenait certain fichier (dont une partie des fichiers de cn=config/ dans /var/cache/ !!!
Du coup, un petit delete de ce qu'il se trouve dans /var/cache, et par miracle, tout refonctionnais correctement.
# Je ne sais pas si ca aide ...
Posté par Nono (site web personnel) . En réponse au message LDAP over TLS - unsupported extended operation. Évalué à 1.
[^] # Re: Distro ?
Posté par Nono (site web personnel) . En réponse au message LDAP over TLS - unsupported extended operation. Évalué à 1.
[^] # Re: Piste suggérée précédemment...
Posté par Nono (site web personnel) . En réponse au message LDAP over TLS - unsupported extended operation. Évalué à 1.
Effectivement, je n'avais pas vu passer ces lignes ?!
J'ai donc recrée le certificat, modifié ma base comme demandé, et je me retrouve avec un beau :
[^] # Re: As-tu bien fait la conf ?
Posté par Nono (site web personnel) . En réponse au message LDAP over TLS - unsupported extended operation. Évalué à 1.
Hum, on recommence, j'avais fait de la merde sur les droits de lecture de mon certificat ..
L'erreur :
le ldapsearch "normal" fonctionne :
Le retour de openssl (qui n'est plus utile, suite au certtool, si j'ai bien compris ?!)
Enfin l'erreur avec gnutls-cli :
[^] # Re: As-tu bien fait la conf ?
Posté par Nono (site web personnel) . En réponse au message LDAP over TLS - unsupported extended operation. Évalué à 1.
Merci de vos réponses, je vais répondre aux deux directement :
@Jean-Yves : Je n'utilise pas de slapd.conf (hormis celui dans /etc/default/) dont le contenu est déjà posté dans mon 1er post.
@Bernez : Concernant le port, c'est une erreur de ma part, j'ai bien effectué le test sur le port 636, et j’obtiens le même résultat : (note : le STARTTLS sur le port 389 semble fonctionner correctement)
Concernant la modification pour le ssl, j'avais utilisé ton propre ldif (venant d'ici : http://linuxfr.org/forums/linux-debian-ubuntu/posts/besoin-d-aide-debian-squeeze-open-ldap-et-ssl )
dont voici les deux appliqués :
Et effectivement, le certtool était/semble nécessaire, un ldd $(which slapd) m'indique bien du gnutls.
Mais, pas d'amélioration :(
Note : J'ai essayé d'enlever "olcSSL.ldif" (en remplacant les "add" par des "remove"), et là, au moins, je peux lancer mon deamon slapd correctement (pas d'erreur : main: TLS init def ctx failed: -1 )
# Debug handshake
Posté par Nono (site web personnel) . En réponse au message LDAP over TLS - unsupported extended operation. Évalué à 1.
On m'a posé la question du handshake, mais la commande openssl en utilisant -prexit ou -msg ou même en spécifiant -tls1 ou -ssl3, rien n'y fait/ne m'aide.
de même
Donc, pas vraiment d'idée :/
[^] # Re: goulot étranglement I/O
Posté par Nono (site web personnel) . En réponse au message Problème de transfert NFS - Comment limiter les IO d'un processus. Évalué à 1.
Merci pour tes indications koopa. Mais si je comprend la théorie de la mémoire partagé, je vois mal comment l’exécuter ?!
mount -o remount,size=8G /dev/shm
et un dd vers /dev/shm par exemple ?!
Au niveau des tampons, c'etait ce que j'ai pu avoir de plus ""stable"", plus petit, les gros transferts commencait la même histoire des IO. de Cette facon, ca me permet de n'avoir pas trop de souci pour les "moyens transferts" de l'ordre de 4/5Go.
Enfin, je vais regarder du coté des jumbo frame car je ne savais pas qu'on pouvait le configurer pour xen (mais si tu as une piste, je suis preneur :) ).
[^] # Re: meme disque ?
Posté par Nono (site web personnel) . En réponse au message Problème de transfert NFS - Comment limiter les IO d'un processus. Évalué à 1.
Je sais pas si le NFS (entre mes vm xen) passe par la carte réseau, en tout cas, les i/o sur ma machine hote ne s'affole pas du tout !
Du coup, est-ce possible ? peut-on limiter ca ? vu que c'est des process apache, je peux peut-être y arriver en limitant www-data, mais ca n'arrangera pas tout :/
[^] # Re: meme disque ?
Posté par Nono (site web personnel) . En réponse au message Problème de transfert NFS - Comment limiter les IO d'un processus. Évalué à 1.
Alors, oui, les VMs sont sur les mêmes disque physique.
Je ne comprend pas bien ton "lire / transfert / recup / réécrit" puisque le DD se fait sur WEB et s'écrit sur DATA. donc c'est de l'écriture direct sur DATA depuis WEB non ?!
Je ne comprend pas bien ce que tu entends par "regarde les waits et les iotop dans mon dom0", ma machine host n'affiche rien dans iotop et la charge est quasi nul …
Enfin, l'idée n'est pas de limiter le nombre de daemon nfs, mais de limiter l'encombrement que peut faire 1 process. Car du coup, comme DD bouffe 99% (en gros), il n'y a plus de place pour mysql/apache etc … (toutes mes autres applis freeze).
Au niveau des buffers, j'y ai pensé, mais ne vais-je pas perdre en qualité de transfert pour les petits fichiers ?! Pour l'instant, je suis en rsize=131072,wsize=131072 qui est déjà assez élevé !
[^] # Re: installer autre chose sur WEB
Posté par Nono (site web personnel) . En réponse au message [Résolu] Envoie de mail depuis serveur web. Évalué à 0.
Merci pour le plugin (que je ne vais pas utiliser cela dit).
Concernant la config, l'idée était de me passer d'un vrai mta (sendmail/exim etc ..)
msmtp rempli parfaitement l'affaire !
[^] # Re: installer autre chose sur WEB
Posté par Nono (site web personnel) . En réponse au message [Résolu] Envoie de mail depuis serveur web. Évalué à 1.
Je pense que c'est EXACTEMENT ca qu'il me faut/fallait !
Il ne me fallait pas un vrai MTA, mais un relai :)
Je test ca de-suite : Et ca marche (avec quelques petites adaptation de configuration, que je post pour la postérité) :
root@WEB:/home# cat /etc/msmtprc
account default
host mail
auto_from on
maildomain
syslog LOG_MAIL
Merci !
Il me reste plus qu'à trouver un moyen pour re-install logwatch sans installer exim4 ou sendmail (le lien symbolique ne lui suffit pas :D)
[^] # Re: installer autre chose sur WEB
Posté par Nono (site web personnel) . En réponse au message [Résolu] Envoie de mail depuis serveur web. Évalué à 0.
Prenons un exemple (concret/courant) : wordpress : Je ne trouve nul part ou renseigner un serveur SMTP ?!
Et le problème se pose pour chaque fonction "mail()" de php appelé. J'aimerais utiliser "directement" mon serveur mail.
Je comprend bien qu'il me faut "quelques chose" qui fasse le liens entre WEB et MAIL, mais quoi ? J'ai l'impression que sendmail se place en serveur d'envoie, au même titre que postfix. J'aimerais pour ma part, renseigner le système de façon à dire, chaque utilisation de mail(), renvoie vers MAIL (la VM/mon serveur de mail).
# sshd : configuration standard.
Posté par Nono (site web personnel) . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à 3.
Qu'entendez-vous par "sshd : configuration standard."
Port 22, algo par défaut, pas de système de clé passwordless, pas de limitation d'ip ou d'utilisateur système ?!
Autre chose, je n'ai rien vu concernant du firewalling ?!
[^] # Script Sieve
Posté par Nono (site web personnel) . En réponse à la dépêche Héberger son courriel. Évalué à 1.
Et, je pense qu'il manque le "require" dans le script sieve :
sous peine de se retrouver avec un joli
[^] # Re: Port 24 ou 2424 ?
Posté par Nono (site web personnel) . En réponse à la dépêche Héberger son courriel. Évalué à 1.
Bon, grâce à ton aide de tout à l'heure, tout fonctionne au poil maintenant, pour ceux qui aurait des soucis :
J'ai dû rajouter :
dans /etc/dspam/dspam.conf
et définir
dans /etc/dovecot/conf.d/15-lda.conf
[^] # Re: Port 24 ou 2424 ?
Posté par Nono (site web personnel) . En réponse à la dépêche Héberger son courriel. Évalué à -1.
Après quelques test (j'ai testé les deux, histoire d'être sur), Il semblerait que les deux discutes bien …
Aurait-il un moyen d'activer le debug ?
Je vois bien mes mails arriver, être traité par l'antispam, attribué en non-spam, avoir un beau :
Mes mails n'arrivent jamais dans ma boite de réception :/
Peut-être sieve ? lmtp ? malgré tout dspam qui communique mal avec le maildir des utilisateurs ?
Je suis tout nue sans log et il m'avait semblé avoir tout activé !
[^] # Re: Profil supprimé, impossible à restaurer
Posté par Nono (site web personnel) . En réponse à la dépêche Firefox 25. Évalué à 3.
Bon, j'ai encore eu le souci, mais je vais attribuer ca à ma config …
Pour résoudre le souci (dans le cas ou quelqu'un l'aurait) :
Sauvegarde complet de profil 24 (via MozBackup)
Désinstallation TOTALE de Firefox 24 (avec les données)
Installation de la 25
Restauration du profil 24 (via MozBackup toujours).
# Profil supprimé, impossible à restaurer
Posté par Nono (site web personnel) . En réponse à la dépêche Firefox 25. Évalué à 1.
Suis-je le seul à avoir mon profil non-sauvegardé par défaut, lors du passage de la 24 à la 25 ?
De plus, même en restaurant une sauvegarde (via MozBackup) de ma 24 vers ma 25 : Rien. Pas d'onglet, de cookies, de mot de passe sauvegardé ?!
# Port 24 ou 2424 ?
Posté par Nono (site web personnel) . En réponse à la dépêche Héberger son courriel. Évalué à -1.
Seul endroit où est indiqué le port 24, n'est-ce pas le port 2424 ?
Étant derrière un nat, dois-je FWD également le port 24 vers ma VM MAIL?!
[^] # Re: simple
Posté par Nono (site web personnel) . En réponse au message CACert.org et certificat pour plusieurs sous-domaines (futurs). Évalué à 1.
Cela induit donc de créer un certificat pour chaque sous-domaine.
N'y a t-il pas un moyen de certifier tous mes sous-domaines ?
# Résolu ...
Posté par Nono (site web personnel) . En réponse au message Remise à zéro d'une installation de LDAP (2.4.31-1+nmu2) sur une Debian Wheezy. Évalué à 0.
Le fin mot de l'histoire …
Lors d'un reconfigure (ou d'un reinstall) de slapd, je n'avais pas gaffe au fait qu'il prenait certain fichier (dont une partie des fichiers de cn=config/ dans /var/cache/ !!!
Du coup, un petit delete de ce qu'il se trouve dans /var/cache, et par miracle, tout refonctionnais correctement.
[^] # Re: Faut arrêter les bêtises
Posté par Nono (site web personnel) . En réponse au message Remise à zéro d'une installation de LDAP (2.4.31-1+nmu2) sur une Debian Wheezy. Évalué à 0.
Au temps pour moi, il me manquait cacert.pem et les bon droit pour le faire fonctionner.
Cependant, une chose étrange, j'ai dû installer le paquet ssl-cert, afin d'avoir le groupe éponyme, et rajouter mon utilisateur openldap dedans.
J'ai maintenant un Serveur LDAP fonctionnant (normalement ?!) avec TLS.
Y a t il un moyen de vérifier que le serveur tourne correctement ? (coté client + coté serveur) ?
[^] # Re: Faut arrêter les bêtises
Posté par Nono (site web personnel) . En réponse au message Remise à zéro d'une installation de LDAP (2.4.31-1+nmu2) sur une Debian Wheezy. Évalué à 0. Dernière modification le 28 juillet 2013 à 12:54.
Ok, j'ai purgé comme tu l'a indiqué, et j'ai reconfiguré mon LDAP en utilisant le TLS, j'en arrive au même point qui m'avait fait abandonner le TLS :
[^] # Re: il ne connait pas olcDbIndex
Posté par Nono (site web personnel) . En réponse au message Remise à zéro d'une installation de LDAP (2.4.31-1+nmu2) sur une Debian Wheezy. Évalué à 0.
Je vais essayer (en dernier recours, vu le nombre de fois ou je l'ai fait sans résultat) ta méthode de purge :)
En tout cas, merci, car j'ai découvert qu'il me manquait 2 paquets (il me manquait 2 fichiers dans schema) : libnss-ldap libnss-ldapd
par contre, je n'ai que 3 fichiers et aucun dossier dans /etc/ldap/slapd.d/cn=config :
Je n'ai AUCUNE idée de pourquoi ?!
Le reste semble plus ou moins identique. Une idée peut-être ?!
[^] # Re: il ne connait pas olcDbIndex
Posté par Nono (site web personnel) . En réponse au message Remise à zéro d'une installation de LDAP (2.4.31-1+nmu2) sur une Debian Wheezy. Évalué à 0.
Le problème étant que j'ai déjà dû faire 30 fois le dpkg-reconfigure slapd (avec toutes les combinaisons possible) !
Pourrais-tu me faire un "tree" de ton /etc/ldap si tu es sous wheezy ? Peut-être qu'il me manque des fichiers ?!