Aller au contenu


Zimbra et problème LDAP

zimbra 8.6 ldap

  • Veuillez vous connecter pour répondre
11 réponses à ce sujet

#1 Hargan

Hargan

    Membre

  • Membres
  • 17 messages

Posté 10 juillet 2017 - 12:12

Bonjour à tous,

J'ai un problème sur un serveur Zimbra Collaboration Open Source 8.6.
Je suis sur Ubuntu 14.04 qui est lui-même une machine virtuelle sur un vieux serveur Proxmox 2.6.32

Au lancement du système ou de Zimbra lui-même j'obtiens le message :

Search error: Unable to determine enabled services from ldap.
Unable to determine enabled services. Cache is out of date or doesn't exist.

Je sais que ce problème a souvent été traité et j'ai lu pas mal de forum ainsi que testé un certain nombre de choses :
  • Les certificats auto-signés ne sont pas expirés et j'ai quand même tenté de les renouveler ce qui n'a rien changé
  • Ldap démarre normalement sous l'utilisateur zimbra : ldap start
  • Telnet se connecte sans problème au port 389 ce qui devrait exclure un problème iptables
  • Et voici le contenu de mon fichier hosts :
127.0.0.1 localhost
127.0.1.1 zimbra.monentreprise.com
127.0.1.1 zimbra8.monentreprise.com
# The following lines are desirable for IPv6 capable hosts
::1	 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

A savoir que le serveur fonctionnait très bien jusqu’à ce dimanche dernier, il n'a cependant pas redémarré après sa sauvegarde automatique hebdomadaire. J'ai aussi essayé de restaurer cette dernière, mais elle est dans le même état, Zimbra ne redémarre plus avec le même message d'erreur.

Est-ce que vous avez une idée ?

#2 Hargan

Hargan

    Membre

  • Membres
  • 17 messages

Posté 10 juillet 2017 - 13:03

Je vient de tomber sur ce sujet qui me semble proche du mien :
https://www.zimbrafr...ge-erreur-ldap/

Lorsque j'essai de lancer une requête à LDAP voici le retour :
ldapsearch -LLL -h localhost -p 389 -D uid=zimbra,cn=admins,cn=zimbra -W
Enter LDAP Password:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Sachant que j'ai trouvé le mot de passe par le biais de la commande (ldap_root_password) :
zmlocalconfig -s | grep ldap | grep pass

Je n'ai rien de particulier dans les log /var/log/zimbra.log au moment ou je lance un ldap start
Jul 10 13:47:30 zimbra slapd[6195]: @(#) $OpenLDAP: slapd 2.4.39 (Dec 2 2014 21:28:07) $#012#011root@zre-ubuntu14-64:/home/build/p4/zimbra/JUDASPRIEST-860/ThirdParty/openldap/openldap-2.4.39.2z/servers/slapd
Jul 10 13:47:30 zimbra slapd[6196]: slapd starting


#3 Hargan

Hargan

    Membre

  • Membres
  • 17 messages

Posté 10 juillet 2017 - 14:41

Avec la commande ldapsearch, j'ai remplacer localhost par le domaine LDAP, ce qui donne :
ldapsearch -LLL -h zimbra.monentreprise.com -p 389 -D uid=zimbra,cn=admins,cn=zimbra -W
Enter LDAP Password:
ldap_bind: Confidentiality required (13)
additional info: confidentiality required


#4 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 351 messages
  • LocalisationPlanète Terre

Posté 10 juillet 2017 - 15:11

C'est ton serveur LDAP qui est configuré pour faire du tls.

Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org


#5 Hargan

Hargan

    Membre

  • Membres
  • 17 messages

Posté 10 juillet 2017 - 15:55

Ce qui veux dire que ma méthode de tentative de connexion n'est pas valable ?
ldapsearch -LLL -h zimbra.monentreprise.com -p 389 -D uid=zimbra,cn=admins,cn=zimbra -W

Cependant, d'après la configuraiton de Zimbra, ldap_common_require_tls, ldap_starttls_required, ldap_starttls_supported sont bien à True ou 1 ?
Mais il faut changer les adresse ldap en ldaps ? et les ports 389 en 636 ou je me mélange les pinceaux ?

Résumé de ma config Zimbra :
ldap_bind_url =
ldap_common_require_tls = 1
ldap_host = zimbra.monentreprise.com
ldap_is_master = true
ldap_ldapi_socket_file = ${zimbra_home}/data/ldap/state/run/ldapi
ldap_master_url = ldap://zimbra.monentreprise.com:389
ldap_port = 389
ldap_postfix_password = [mdp]
ldap_replication_password = [mdp]
ldap_root_password = [mdp]
ldap_starttls_required = true
ldap_starttls_supported = 1
ldap_url = ldap://zimbra.monentreprise.com:389
zimbra_ldap_password = [mdp]
zimbra_ldap_user = zimbra
zimbra_ldap_userdn = uid=zimbra,cn=admins,cn=zimbra
zimbra_zmprov_default_to_ldap = false

Par contre, c'est normal que ldap_bind_url soit vide ?

#6 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 351 messages
  • LocalisationPlanète Terre

Posté 10 juillet 2017 - 16:19

Normal à ma connaissance.

Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org


#7 Hargan

Hargan

    Membre

  • Membres
  • 17 messages

Posté 10 juillet 2017 - 16:43

Ouf !

J'ai donc remplacer dans le fichier localconfig.xml les adresse ldap en ldaps, et les ports 389 en 636.
Et le serveur à démarré !!!

Cependant impossible d'envoyer un mail, même depuis l'interface web de Zimbra.

method: [unknown]
msg: Invalid address: XXXXXXXX@gmail.com. com.zimbra.cs.mailbox.MailSender$SafeSendFailedException: MESSAGE_NOT_DELIVERED; chained exception is: com.zimbra.cs.mailclient.smtp.InvalidRecipientException: RCPT failed: Invalid recipient XXXXXXX@gmail.com: 451 4.3.0 <XXXXXXXXXX>: Temporary lookup failure
code: mail.SEND_ABORTED_ADDRESS_FAILURE
detail: soap:Sender
trace: qtp1025799482-99:https://127.0.1.1:8443/service/soap/SendMsgRequest:1499701076060:17a33493c3f161e8
request:
Body: {
SendMsgRequest: {
_jsns: "urn:zimbraMail",
m: {
	 e: [
	 // [0]:
	 {
		 a: "XXXXXXX@gmail.com",
		 t: "t"
		 },
	 // [1]:
	 {
		 a: "XXXXXXX@XXXXXXX.com",
		 t: "f"
		 }
	 ],
	 idnt: "685dcbe3-35c0-4bdf-981c-9aa48b222110",
	 mp: [
	 // [0]:
	 {
		 ct: "multipart/alternative",
		 mp: [
		 // [0]:
		 {
			 content: {
			 _content: "test
"
			 },
			 ct: "text/plain"
			 },
		 // [1]:
		 {
			 content: {
			 _content: "&lt;html&gt;&lt;body&gt;&lt;div style=&quot;font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000&quot;&gt;&lt;div&gt;test&lt;/div&gt;&lt;/div&gt;&lt;/body&gt;&lt;/html&gt;"
			 },
			 ct: "text/html"
			 }
		 ]
		 }
	 ],
	 su: {
	 _content: "test"
	 }
	 },
suid: 1499701072683
}
},
Header: {
context: {
_jsns: "urn:zimbra",
account: {
	 _content: "XXXXXXX@XXXXXXX.com",
	 by: "name"
	 },
authToken: "(removed)",
csrfToken: "0_244138efe69464f76d45e47838b3d53b3ed391bd",
notify: {
	 seq: 6
	 },
session: {
	 _content: 16,
	 id: 16
	 },
userAgent: {
	 name: "ZimbraWebClient - GC59 (Linux)",
	 version: "8.6.0_GA_1153"
	 }
}
}


#8 Hargan

Hargan

    Membre

  • Membres
  • 17 messages

Posté 10 juillet 2017 - 16:52

Tout cela me créé un gros doute : LDAP est censé être configuré en connexion TLS ou pas ?

J'ai l'impression que ma dernière modification à créé d'autres problèmes pour le coup...

#9 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 351 messages
  • LocalisationPlanète Terre

Posté 10 juillet 2017 - 17:01

Bah c'est toi qui doit le savoir.
En ce qui concerne l'erreur, c'est ton service MTA qui n'arrive pas à interroger le LDAP vraisemblablement.

Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org


#10 Hargan

Hargan

    Membre

  • Membres
  • 17 messages

Posté 10 juillet 2017 - 17:13

Je t'avoue que je ne m'était jamais posé cette question la avant et j'utilisais donc la configuration par defaut de Zimbra sur un seul serveur (LDAP n'est pas séparé)
Je n'utilise pas LDAP en dehors de Zimbra.

Voici un morceau de log qui, je pense, confirme ce que tu vient de dire :
Jul 10 18:09:25 zimbra postfix/cleanup[15317]: warning: proxy:ldap:/opt/zimbra/conf/ldap-scm.cf lookup error for "zimbra@zimbra.XXXXX.com"
Jul 10 18:09:25 zimbra postfix/cleanup[15317]: warning: 8314BA1C60: sender_canonical_maps map lookup problem for zimbra@zimbra.XXXXX.com -- message not accepted, try again later
Jul 10 18:09:25 zimbra postfix/pickup[29084]: warning: maildrop/D75FFA1C16: error writing 8314BA1C60: queue file write error
Jul 10 18:09:25 zimbra postfix/pickup[29084]: 852D4A1C60: uid=998 from=<zimbra>

D’où je me pose la question si il est préférable que je configure LDAP sans TLS, ou si je doit re-vérifier et re-configurer chaque service pour être sûr qu'ils se connectent bien à LDAP avec TLS...

#11 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 351 messages
  • LocalisationPlanète Terre

Posté 11 juillet 2017 - 09:05

Pour ma part le TLS ne sert à rien tant que cela reste en interne.
Si tu désire le désactiver c'est à coup de ldif.

Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org


#12 Hargan

Hargan

    Membre

  • Membres
  • 17 messages

Posté 11 juillet 2017 - 10:01

J'ai finalement suivi ce qui est dit sur cette page pour tout passer en TLS : https://wiki.zimbra....to_enable_ldaps
Tout à l'air d'être rentré dans l'ordre !!

Merci beaucoup pour tout tes conseils Zimbra Guy !





Aussi étiqueté avec au moins un de ces mots-clés : zimbra 8.6, ldap

0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)