Koozali.org: home of the SME Server
Other Languages => Français => Topic started by: chrica76 on February 22, 2022, 07:43:07 PM
-
Bonjour a Vous
j'ai un problème de renouvellement de certificat avec dehydrated
j'ai un message d'erreur (j'ai remplace mon domaine et ip par ***) [root@www1 ~]# dehydrated -c
# INFO: Using main config file /etc/dehydrated/config
Processing mail.***.com
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Feb 24 12:26:19 2022 GMT (Less than 30 days). Renewing!
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 1 authorizations URLs from the CA
+ Handling authorization for mail.***.com
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for mail.***.com authorization...
+ Cleaning challenge tokens...
+ Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: ["type"] "http-01 "
["status"] "invalid"
["error","type"] "urn:ietf:params:acme:error:unauthorized"
["error","detail"] "Invalid response from https://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA [**.**.**.195]:\"\u003c!DOCTYPE HTML PUBLIC \\\"-//IETF//DTD HTML 2.0//EN\\\"\u003e\\n\u003chtml\u003e\u003chead\u003e\\n\u003ctitle\u003e403 Forbidden\u003c/title\u003e\\n\u003c/head\u003e\u003cbody\u003e\\n\u003ch1\u003eForbidden\u003c/h1\u003e\\n\u003cp\""
["error","status"] 403
["error"] {"type":"urn:ietf:params:acme:error:unauthorized","detail":"Invalid response from https://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA [**.**.**.195]: \"\u003c!DOCTYPE HTML PUBLIC\\\"-//IETF//DTD HTML 2.0//EN\\\"\u003e\\n\u003chtml\u003e\u003chead\u003e\\n\u003ctitle\u003e403 Forbidden\u003c/title\u003e\\n\u003c/head\u003e\u003cbody\u003e\\n\u003ch1\u003eForbidden\u003c/h1\u003e\\n\u003cp\"","status":403}
["url"] "https://acme-staging-v02.api.letsencrypt.org/acme/chall-v3/1741213068/FD0tkQ"
["token"] "FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA"
["validationRecord",0,"url"] "http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA"
["validationRecord",0,"hostname"] "mail.***.com"
["validationRecord",0,"port"] "80"
["validationRecord",0,"addressesResolved",0] "**.**.**.195"
["validationRecord",0,"addressesResolved"] ["**.**.**.195"]
["validationRecord",0,"addressUsed"] "**.**.**.195"
["validationRecord",0] {"url":"http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA","hostname":"mail.***.com","port":"80","addressesResolved":["**.**.**.195"],"addressUsed":"**.**.**.195"}
["validationRecord",1,"url"] "https://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA"
["validationRecord",1,"hostname"] "mail.***.com"
["validationRecord",1,"port"] "443"
["validationRecord",1,"addressesResolved",0] "**.**.**.195"
["validationRecord",1,"addressesResolved"] ["**.**.**.195"]
["validationRecord",1,"addressUsed"] "**.**.**.195"
["validationRecord",1] {"url":"https://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA","hostname":"mail.***.com","port":"443","addressesResolved":["**.**.**.195"],"addressUsed":"**.**.**9.195"}
["validationRecord"] [{"url":"http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA","hostname":"mail.***.com","port":"80","addressesResolved":["**.**.**.195"],"addressUsed":"**.**.**.195"},{"url":"https://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA","hostname":"mail.***.com","port":"443","addre ssesResolved":["**.**.**.195"],"addressUsed":"**.**.**.195"}]
["validated"] "2022-02-22T17:36:09Z")
j'ai donc chercher et j'ai exactement le problème decrit dans le topic : https://forums.koozali.org/index.php/topic,53147.0.html
et la solution dans le wiki de let's encrypt...
si je regarde mon fichier http error_log j'ai ceci : [core:error] [pid 17454] (13)Permission denied: [client 18.196.102.134:50528] AH00035: access to /.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA denied (filesystem path '/home/e-smith/files/ibays/Primary/html/.well-known') because search permissions are missing on a component of the path, referer: http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA
[Tue Feb 22 18:36:10.980985 2022] [core:error] [pid 17457] (13)Permission denied: [client 18.236.228.243:34940] AH00035: access to /.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA denied (filesystem path '/home/e-smith/files/ibays/Primary/html/.well-known') because search permissions are missing on a component of the path, referer: http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA
[Tue Feb 22 18:36:11.243918 2022] [core:error] [pid 17458] (13)Permission denied: [client 66.133.109.36:60598] AH00035: access to /.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA denied (filesystem path '/home/e-smith/files/ibays/Primary/html/.well-known') because search permissions are missing on a component of the path, referer: http://mail.***.com/.well-known/acme-challenge/FPgdRe1jxoiUjWBKWGnQGBzUHnrmORCWm9fGOEsb3QA
[Tue Feb 22 18:36:44.070914 2022]
ca continue a suivre le problème decrit dans le wiki de let's encrypt.
ensuite le suis donc les manip de verification de lecture ecriture comme decrit:
[root@www1 Primary]# cd /home/e-smith/files/ibays
[root@www1 ibays]# ls -l
total 0
drwxr-xr-x. 5 root root 46 20 oct. 2014 Primary
a priori mes droits sont corrects?
dans le doute je fais tout de même la manip de remettre les droits corrects
chown root:root Primary
[root@www1 ibays]# chmod 0755 Primary
puis ensuite je verifie les droit du dossier html:
[root@www1 ibays]# cd /home/e-smith/files/ibays/Primary
[root@www1 Primary]# ls -l
total 0
drwxr-s---. 2 admin shared 6 20 oct. 2014 cgi-bin
drwxr-s---. 2 admin shared 6 20 oct. 2014 files
drwxr-s---. 3 admin shared 42 2 janv. 2018 html
ils ont l'air d'etre correct egalement..
je les remet tout de meme :
[root@www1 Primary]# chown admin:shared html
[root@www1 Primary]# chmod 2750 html
je relance le script dehydrated et j'obtient le meme message d'erreur que au debut...
que puis je faire comme autre test/manipulation pour remettre cela dans l'ordre , je suis plutot novice dans le monde linux
c'est d'autant plus étrange que je n'ai pas le souvenir d'avoir modifier/installer quelque chose en particulier récemment
Merci de votre aide
-
Please read this on how to report issues.
https://forums.koozali.org/index.php/topic,54724.0.html
Don't go wildly changing things if you do not know what you are doing or you may leave your server exposed. All these setting and permissions should be handled automatically by the server and do not normally need touching.
Tell us a bit more about your server. What version, is it an upgrade?
Go to the server-manager, Report a bug, create a report and post the output here.
Was this working previously?
What did you change?
-
Hi
oh sorry my server is SME V10
I changed nothing before the problem is coming
It's already works succefully
I do the last update after I detected the problem to be sure my problem is not corrected by a update
for the permission I only changed what the wiki indicate (wiki let's encrypt)
this is my bug report: Configuration report created mar 22 fév 2022 21:39:21 CET
==================
Base configuration
==================
SME server version: 10.0
SME server mode: servergateway
SME server previous mode: servergateway
Running Kernel: 3.10.0-1160.53.1.el7.x86_64
===========================
New RPMs not in base system
===========================
Modules complémentaires chargés : fastestmirror, post-transaction-actions,
: priorities, smeserver
Loading mirror speeds from cached hostfile
* base: centos.mirrors.proxad.net
* smeaddons: www.mirrorservice.org
* smeos: www.mirrorservice.org
* smeupdates: www.mirrorservice.org
* updates: centos.mirrors.proxad.net
Paquets supplémentaires
libicu69.x86_64 69.1-2.el7.remi installed
php81-php.x86_64 8.1.3-1.el7.remi installed
php81-php-bcmath.x86_64 8.1.3-1.el7.remi installed
php81-php-cli.x86_64 8.1.3-1.el7.remi installed
php81-php-common.x86_64 8.1.3-1.el7.remi installed
php81-php-enchant.x86_64 8.1.3-1.el7.remi installed
php81-php-fpm.x86_64 8.1.3-1.el7.remi installed
php81-php-gd.x86_64 8.1.3-1.el7.remi installed
php81-php-imap.x86_64 8.1.3-1.el7.remi installed
php81-php-intl.x86_64 8.1.3-1.el7.remi installed
php81-php-ldap.x86_64 8.1.3-1.el7.remi installed
php81-php-mbstring.x86_64 8.1.3-1.el7.remi installed
php81-php-mysqlnd.x86_64 8.1.3-1.el7.remi installed
php81-php-opcache.x86_64 8.1.3-1.el7.remi installed
php81-php-pdo.x86_64 8.1.3-1.el7.remi installed
php81-php-pear.noarch 1:1.10.13-1.el7.remi installed
php81-php-pecl-xmlrpc.x86_64 1.0.0~rc3-1.el7.remi @remi-safe
php81-php-pecl-zip.x86_64 1.20.0-1.el7.remi installed
php81-php-process.x86_64 8.1.3-1.el7.remi installed
php81-php-snmp.x86_64 8.1.3-1.el7.remi installed
php81-php-soap.x86_64 8.1.3-1.el7.remi installed
php81-php-sodium.x86_64 8.1.3-1.el7.remi installed
php81-php-tidy.x86_64 8.1.3-1.el7.remi installed
php81-php-xml.x86_64 8.1.3-1.el7.remi installed
php81-runtime.x86_64 8.1-1.el7.remi installed
smeserver-vacation.noarch 1.1-33.el7.sme @smecontribs
smeserver-wbl.noarch 0.5.0-5.el7.sme @smecontribs
===========================
Custom and modified templates
===========================
/etc/e-smith/templates-custom/var/service/qpsmtpd/config/relayclients/81relayFromTrustedRemote: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/var/qmail/control/smtproutes/90AOLMail: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/etc/dar/DailyBackup.dcf/41go-into: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/etc/crontab/renouvelerSSL: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts40ACME: MANUALLY_ADDED, ADDITION
===========================
Modified events
===========================
/etc/e-smith/events/email-update/templates2expand/var/qmail/control/badmailfrom: MULTIPLE_RPM_OWNERS smeserver-wbl-0.5.0-5.el7.sme, smeserver-qpsmtpd-2.7.0-7.el7.sme
/etc/e-smith/events/email-update/templates2expand/var/service/qpsmtpd/config/badhelo: MULTIPLE_RPM_OWNERS smeserver-wbl-0.5.0-5.el7.sme, smeserver-qpsmtpd-2.7.0-7.el7.sme
=======================
Additional repositories
=======================
base: enabled
centosplus: disabled
extras: disabled
fasttrack: disabled
remi-safe: enabled
smeaddons: enabled
smecontribs: disabled
smedev: disabled
smeextras: enabled
smeos: enabled
smetest: disabled
smeupdates: enabled
smeupdates-testing: disabled
updates: enabled
DONE
Thanks
-
Remove your crontab & httpd hacks, and use the contrib......
It is there to make your life easier, especially if you are not so experienced.
-
Hi
It is strange I not create crontab & httpd hacks I remove it .. this is the new "bug report"
Configuration report created mer 23 fév 2022 14:27:26 CET
==================
Base configuration
==================
SME server version: 10.0
SME server mode: servergateway
SME server previous mode: servergateway
Running Kernel: 3.10.0-1160.53.1.el7.x86_64
===========================
New RPMs not in base system
===========================
Modules complémentaires chargés : fastestmirror, post-transaction-actions,
: priorities, smeserver
Loading mirror speeds from cached hostfile
* base: centos.mirror.fr.planethoster.net
* smeaddons: www.mirrorservice.org
* smeos: www.mirrorservice.org
* smeupdates: www.mirrorservice.org
* updates: centos-mirror.usessionbuddy.com
Paquets supplémentaires
libicu69.x86_64 69.1-2.el7.remi installed
php81-php.x86_64 8.1.3-1.el7.remi installed
php81-php-bcmath.x86_64 8.1.3-1.el7.remi installed
php81-php-cli.x86_64 8.1.3-1.el7.remi installed
php81-php-common.x86_64 8.1.3-1.el7.remi installed
php81-php-enchant.x86_64 8.1.3-1.el7.remi installed
php81-php-fpm.x86_64 8.1.3-1.el7.remi installed
php81-php-gd.x86_64 8.1.3-1.el7.remi installed
php81-php-imap.x86_64 8.1.3-1.el7.remi installed
php81-php-intl.x86_64 8.1.3-1.el7.remi installed
php81-php-ldap.x86_64 8.1.3-1.el7.remi installed
php81-php-mbstring.x86_64 8.1.3-1.el7.remi installed
php81-php-mysqlnd.x86_64 8.1.3-1.el7.remi installed
php81-php-opcache.x86_64 8.1.3-1.el7.remi installed
php81-php-pdo.x86_64 8.1.3-1.el7.remi installed
php81-php-pear.noarch 1:1.10.13-1.el7.remi installed
php81-php-pecl-xmlrpc.x86_64 1.0.0~rc3-1.el7.remi @remi-safe
php81-php-pecl-zip.x86_64 1.20.0-1.el7.remi installed
php81-php-process.x86_64 8.1.3-1.el7.remi installed
php81-php-snmp.x86_64 8.1.3-1.el7.remi installed
php81-php-soap.x86_64 8.1.3-1.el7.remi installed
php81-php-sodium.x86_64 8.1.3-1.el7.remi installed
php81-php-tidy.x86_64 8.1.3-1.el7.remi installed
php81-php-xml.x86_64 8.1.3-1.el7.remi installed
php81-runtime.x86_64 8.1-1.el7.remi installed
smeserver-vacation.noarch 1.1-33.el7.sme @smecontribs
smeserver-wbl.noarch 0.5.0-5.el7.sme @smecontribs
===========================
Custom and modified templates
===========================
/etc/e-smith/templates-custom/var/service/qpsmtpd/config/relayclients/81relayFromTrustedRemote: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/var/qmail/control/smtproutes/90AOLMail: MANUALLY_ADDED, ADDITION
/etc/e-smith/templates-custom/etc/dar/DailyBackup.dcf/41go-into: MANUALLY_ADDED, ADDITION
===========================
Modified events
===========================
/etc/e-smith/events/email-update/templates2expand/var/qmail/control/badmailfrom: MULTIPLE_RPM_OWNERS smeserver-wbl-0.5.0-5.el7.sme, smeserver-qpsmtpd-2.7.0-7.el7.sme
/etc/e-smith/events/email-update/templates2expand/var/service/qpsmtpd/config/badhelo: MULTIPLE_RPM_OWNERS smeserver-wbl-0.5.0-5.el7.sme, smeserver-qpsmtpd-2.7.0-7.el7.sme
=======================
Additional repositories
=======================
base: enabled
centosplus: disabled
extras: disabled
fasttrack: disabled
remi-safe: enabled
smeaddons: enabled
smecontribs: disabled
smedev: disabled
smeextras: enabled
smeos: enabled
smetest: disabled
smeupdates: enabled
smeupdates-testing: disabled
updates: enabled
DONE!
I Reboot
I try to reinstall contrib but the system says me:
]# yum --enablerepo=smecontribs install dehydrated
Modules complémentaires chargés : fastestmirror, post-transaction-actions, priorities, smeserver
Loading mirror speeds from cached hostfile
* base: mirrors.ircam.fr
* smeaddons: www.mirrorservice.org
* smecontribs: www.mirrorservice.org
* smeextras: www.mirrorservice.org
* smeos: www.mirrorservice.org
* smeupdates: www.mirrorservice.org
* updates: mirrors.ircam.fr
Le paquet dehydrated-0.7.0-2.el7.noarch est déjà installé dans sa dernière version
Rien à faire
I re-do the configuration and I have the same problem
Thanks
-
Read the wiki.
https://wiki.koozali.org/Letsencrypt#Contrib_Installation_of_Dehydrated
smeserver-letsencrypt.......
-
I already do it of course.. I have the problem in the troubleshooting session (Challenge fails with unauthorized 403 error) but the solution doesn't work for me.. :?
they already works few month ago..
I don't know what can I do more
Thanks
-
(Challenge fails with unauthorized 403 error)
Il y a un problème de droits, c'est indiqué dans tes journaux :-)
Tu obtiens quoi avec cette commande :
ls -als /home/e-smith/files/ibays/Primary/html/
Chez moi, je n'utilise pas l'ibay "Primary" pour le moment et la demande de certificat est établie pour l'ensemble du domaine :
total 4
0 drwxr-s---. 3 admin shared 42 20 janv. 11:18 .
0 drwxr-xr-x. 5 root root 46 17 janv. 11:02 ..
4 -rw-r-----. 1 admin shared 202 21 nov. 2005 index.htm
0 drwxrwsr-x 3 www shared 28 20 janv. 11:18 .well-known
-
Bonjour oui j'ai compris que j'ai un problème de droit mais je ne vois pas comment changer cela j'ai suivi les manips mais cela n'a rien changé je ne comprend pas pourquoi et je n'ai pas fait de changement sur ce serveur (pas d'installation particuliere , pas de changement de config) c'est ca qui est bizarre.
J'obtiens ca:
ls -als /home/e-smith/files/ibays/Primary/html/
total 4
0 drwxr-s---. 3 admin shared 42 2 janv. 2018 .
0 drwxr-xr-x. 5 root root 46 20 oct. 2014 ..
4 -rw-r----- 1 admin shared 202 21 nov. 2005 index.htm
0 drwxrwsr-x 3 apache shared 28 2 janv. 2018 .well-known
du coup pour ne pas utilisé l'ibay primary je me demandais comment changer en créant une nouvelle ibay , ce serveur n'heberge pas de site , juste le webmail et les mail donc je peut changer d'ibay sans problème
-
Please don't start taking wild guesses at solutions.
Do not try and recreate or use another ibay.
You will just make more issues which makes it harder to debug this.
When did you upgrade to v10?
Was letsencrypt working after restore? How did you test it?
Can you view the index file here?
http://mail.***.com/index.htm
http://host.***.com/index.htm
I sometimes make a text file and chmod it 0666 and then see if you can access it like this:
http://mail.***.com/.well-known/acme-challenge/testfile.txt
Please post the output of
grep 102 /etc/passwd
There is a command that should set the user and directory permissions on Primary correctly but I always forget which. Someone will probably post it later.
-
I do the update last year i install V10 and restore backup from V8 whitout a lot problem
the script desyhadred already work some time I use it for few month the iphone,android,outlook ,thunderbird can download mail whithout certificate error at this time the certificat is correct but it is stop in one week I m already have a problem whith let's encrypt encryption format (see my older post) but it is not the same problem
I can't acces to index.htm (403 forbidden) idem for mail.***.com/index.htm and host.***.com/index.htm
problem authorization for apache?
the webmail (mail.***.com/webmail) work good it use apache too?
I creat the test.txt I do chmod -R 0666 test.txt
That is correct?
and try to acces https://mail.***.com/.well-known/acme-challenge/test.txt
but same error 403 forbidden
I do the command grep 102 /etc/passwdthe result is [root@www1 ~]# grep 102 /etc/passwd
apache:x:102:102:Apache:/var/www:/sbin/nologin
www:x:102:102:SME Server web server:/home/e-smith:/bin/false
thanks
-
la contrib n’est pas dehydrated mais smeserver-letsencrypt
yum install smeserver-letsencrypt —enablerepo=smecontribs
puis il faut suivre le reste de la page indiqué par John pour finit la configuration.
-
Bonjour
j'obtient le meme resultat en faisant cette commande:
yum install smeserver-letsencrypt —enablerepo=smecontribs
Modules complémentaires chargés : fastestmirror, post-transaction-actions, priorities, smeserver
Loading mirror speeds from cached hostfile
* base: centos.crazyfrogs.org
* smeaddons: www.mirrorservice.org
* smeextras: www.mirrorservice.org
* smeos: www.mirrorservice.org
* smeupdates: www.mirrorservice.org
* updates: centos.crazyfrogs.org
Le paquet smeserver-letsencrypt-0.5-18.noarch est déjà installé dans sa dernière versionj'ai suivi les opérations a faire j'arrive bien a faire une demande de certificat mais j'arrive toujours sur l'erreur de droit d'acces décrite dans les troubleshooting.. :sad: je fais la manip decrite mais cela ne fonctionne pas , et a priori cela est plus global comme problème puisque je n'arrive meme pas a acceder a index.htm a la racine du server en local ou en distant c'est le même résultat
Merci
-
je n'arrive meme pas a acceder a index.htm a la racine du server en local ou en distant c'est le même résultat
ma voiture ne marche pas, dites moi ce qui ne va pas.
voyez vous le parallèle ?
Aucune information precise, nous ne somme pas assis à votre place pour voir l’erreur, entendre le son de la voiture, voir ce que vous faites avec votre clef de démarreur etc. Et nous n’avons pas de boule de cristal.
Aidez nous à vous aide.
Décrivez ce que vous faites, précisément : adresse tapée, navigateur, emplacement reseau. Expliquez ce wue vous vous attendez à voir. Expliquez ce que vous voyez. Message exact d’erreur affiché. pas Ca marche pas.
Niveau suivant, affichez le log dans putty et recopier exactement l’erreur au moment que vous tentez d’y accéder.
tail -f /var/log/httpd/error_log
-
I followed the operations to be done I manage to make a certificate request
Write down EXACTLY what steps you took, in detail.
You must be clear, accurate, and describe precisely the steps you took so that we can try and replicate them.
I can't access to index.htm (403 forbidden) idem for mail.***.com/index.htm and host.***.com/index.htm
If you cannot access Primary/html/index.htm via a browser then Letsencrypt is NEVER going to be able to view anything in /.well-known/acme-challenge
So before attempting to make Letsencrypt work you should concentrate on fixing that issue first.
Did you reset modSSL ?
https://wiki.koozali.org/Letsencrypt#Certificate_Errors
I suggest you try that first and make sure you can access Primary, and webmail, using the self signed certificate.
-
Bonjour Jean-Philippe
je pensais avoir été clair dans mon premier message désolé si je ne l'ai pas été :sad: je comprend je suis moi même confronter à ce genre de problème dans un autre domaine...
je récapitule: j'ai un problème de renouvellement de certificat let's encrypt sur un SME V10 ce renouvellement a déjà fonctionné auparavant sans problème, d’ailleurs le certificat actuel est encore valable quelque jours
lors de la demande de certificat j'ai un retour d'erreur 403 et une erreur sur des permission d'acces comme cité dans le premier message j'ai mis les manips qui ne fonctionne pas avec les messages d'erreur et le log que vous demander dans le premier message.
En investiguant j'ai trouve dans le wiki une solution pour dépanner ce problème j'ai appliquer cette solution comme je le décrit dans ce premier message (j'ai copier coller exactement ce que je tape et le retour du serveur que j'ai) mais cette solution ne fonctionne pas dans mon cas je ne comprenais pas pourquoi jusqu’à l'intervention de ReetP qui m'a guider pour finalement comprendre que c'est l'accès au primary qui ne fonctionne pas , mais je n'arrive pas a trouver comment le rétablir sans tous casser je ne comprend même pas comment il a pu sauter vu que je n'ai rien installer depuis plusieurs mois sur ce serveur.
Merci
-
It did not happen by itself :-)
I am sure you have done updates, and clearly SOMETHING has changed.
You are going to have to go back and start again. If you do not, your certificate is going to expire any way and then you will be forced to do it.
I have already told you - clear out ALL the old manual stuff, reset modSSL, and reset the Primary SSL status
db accounts setprop Primary SSL disabled (and then same for any other ibays)
post-upgrade/reboot
Check you can access Primary as previously described.
If you can the install the letsencrypt contrib.
If not we will need to look again.
-
Of course It did not happen by itself but I think it is a important information for you , I do update via server manager after I see this problem
Ok I delete my certificat this evening ! (paris time) :???:
-
Of course It did not happen by itself but I think it is a important information for you , I do update via server manager after I see this problem
The problem is something HAS changed, we have all done updates the same as you and no one else has experienced the issue so we are trying to figure out what happened.
You have a manual install with custom templates and any one of a dozen things could be wrong that we know nothing about. With a contrib we know exactly what is in it and how it should work.
Ok I delete my certificat this evening ! (paris time) :???:
You can backup the whole dehydrated directory elsewhere, and then keys, and restore later if required.
Make sure you remove EVERYTHING you manually installed.
It might be easier on the weekend - quieter and more time to rectify issues!
-
tu récapitules ce qu tu as deja dis mais ne répond à la question.
quelle erreur quand tu navigue vers la page index.htm? que s’affiche t il?
quel code d’erreur dans ton navigateur ou quel message mais aussi dans les logs du serveur.
-
Rebonjour
dans le reply#10
j'ai ecrit I can't acces to index.htm (403 forbidden) idem for mail.***.com/index.htm and host.***.com/index.htm
the text exactly is Forbidden
You don't have permission to access /index.htm on this server.
je n'ai pas prcisé effectivement mais j'ai la meme erreur dans le fichier log que avec les fichier de let's enrypt
[Thu Feb 24 18:57:31.728309 2022] [core:error] [pid 32237] (13)Permission denied: [client 192.168.2.203:51440] AH00035: access to /index.htm denied (filesystem path '/home/e-smith/files/ibays/Primary/html/index.htm') because search permissions are missing on a component of the path
je ne l'ai pas precisé c'est exact. désolé :sad:
-
Hi Again
I remove certificat
I Do that:config delprop modSSL crt
config delprop modSSL key
config delprop modSSL CertificateChainFile
signal-event post-upgrade
signal-event reboot
after that I can't access to http://mail.***.com/index.htm and I have a error 403 forbidden the sme put the older let's encrypt certificat (expire 3/12/2021) but I not sure of that (it is late)
after I Do that :
rm /home/e-smith/ssl.{crt,key,pem}/*
config delprop modSSL CommonName
config delprop modSSL crt
config delprop modSSL key
signal-event post-upgrade
signal-event reboot
after that the certificat is new autocertificat valide from today and for one year (see in chrome certificat information)
I try to connect to http://mail.***.com/index.htm and I have same error 403 forbidden
and the http error log say that:
[Thu Feb 24 21:42:45.847194 2022] [ssl:warn] [pid 2149] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Thu Feb 24 21:42:45.865132 2022] [ssl:warn] [pid 2149] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Thu Feb 24 21:42:45.868988 2022] [mpm_prefork:notice] [pid 2149] AH00163: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips configured -- resuming normal operations
[Thu Feb 24 21:42:45.869032 2022] [core:notice] [pid 2149] AH00094: Command line: '/usr/sbin/httpd -f /etc/httpd/conf/httpd.conf -D FOREGROUND'
[Thu Feb 24 21:43:21.917483 2022] [core:error] [pid 2185] (13)Permission denied: [client 192.168.2.203:51803] AH00035: access to /index.htm denied (filesystem path '/home/e-smith/files/ibays/Primary/html/index.htm') because search permissions are missing on a component of the path
I can't acces to primary ibay
for the moment I don't try to regenerate let's encrypt certificat because I think if not work as long as primary acces doesn't work
If I do backup , install new system and restore is SME restore the permission?
-
retourne le contenu de la commande
# ll -d /home/ /home/e-smith/ /home/e-smith/files/ /home/e-smith/files/ibays/ /home/e-smith/files/ibays/Primary/ /home/e-smith/files/ibays/Primary/html/
il devrait retourner quasi exactement cela, (excepté les dates)
drwxr-xr-x. 3 root root 20 11 avr 2018 /home/
drwxr-xr-x. 9 admin admin 4096 23 fév 22:10 /home/e-smith/
drwxr-xr-x. 8 root root 93 28 nov 22:29 /home/e-smith/files/
drwxr-xr-x. 5 root root 43 6 fév 2013 /home/e-smith/files/ibays/
drwxr-xr-x. 5 root root 43 14 jun 2018 /home/e-smith/files/ibays/Primary/
drwxr-s---. 2 admin shared 40 12 mar 2020 /home/e-smith/files/ibays/Primary/html/
le message que tu copies depuis un moment ne fait que te dire que le user www/apache ne peut accéder à /home/e-smith/files/ibays/Primary/html/index.html car il ne peut acceder à un des dossiers parents....
Permission denied
access to /index.htm denied
(filesystem path '/home/e-smith/files/ibays/Primary/html/index.htm')
because search permissions are missing on a component of the path
ceci est le résultat d'une intervention humaine la plupart du temps sur un des dossiers parent avec une commande tel que chmod ou chown.
-
bonjour/bonsoir?
alors le resultat de la commande est le suivant:
[root@www1 ~]# ll -d /home/ /home/e-smith/ /home/e-smith/files/ /home/e-smith/files/ibays/ /home/e-smith/files/ibays/Primary/ /home/e-smith/files/ibays/Primary/html/
drwxr-xr-x. 3 root root 21 25 août 2021 /home/
drwxr-xr-x. 11 admin admin 191 25 févr. 00:50 /home/e-smith/
drwxr-xr-x. 8 root root 110 31 janv. 2013 /home/e-smith/files/
drwxr-xr-x. 3 root root 21 20 janv. 2016 /home/e-smith/files/ibays/
drwxr-xr-x. 5 root root 46 20 oct. 2014 /home/e-smith/files/ibays/Primary/
drwxr-s---. 3 admin shared 42 2 janv. 2018 /home/e-smith/files/ibays/Primary/html/
c'est cohérent avec ce que vous me donner je pense
je n'ai pas jouer avec les chmod ou chown que je ne maitrise malheureusement pas
-
grep shared /etc/group
-
ok
[root@www1 ~]# grep shared /etc/group
shared:x:500:acceuil,admin,adrien,agathe,agenda,alice,anna,annesophie,audio10,audio11,cecile,charles,christophe,clemence,compta,compta2,elisa,fichecom,flore,forum,francebb,francois,gabriel,hugo,infos,isaline,laura,lauriane,ludo,mahel,marlene,mosaic1,mosaic2,nabi,nicob,nodalaudio,nodalvideo,pascal,poubelle,prod1,prod2,ps,public,qc.michele,raphael,reception,reception-a,record,regie,robin,rousseaux,satanas,sf,shelly,thierry,christophetest,aude,testmail,gaspard_g,olivier,florian,prescilla,remi
-
La seule différence avec la commande demandée dans mon précédent post, c'est que tu as "apache" en propriétaire du fichier ".well-known" et moi "www".
Sincèrement, à ce stade puisqu'il semble s'agir d'un serveur de production pour de nombreux utilisateurs, à ta place je ne risquerai pas d'aller plus loin sous peine de tout casser et ainsi immobiliser tout le monde.
Tu indiques ne pas savoir utiliser les "chown et chmod", pourtant ils sont mentionnés dans plusieurs de tes posts, alors la raison du dysfonctionnement est certainement là (?)
Tu as la solution de faire acheter un ticket de support par ton entreprise, n'hésites pas, parfois il vaut mieux savoir être sage...
-
Bonjour
l'utilisation du chmod fait suite au manip décrite dans le wiki de le'ts encrypt dans la session troubleshooting vu que mon problème était identique au problème décrit j'ai suivi les instructions donné dans ce wiki que je considère comme fiable.
du coup hier soir j'ai créer un clone sur un nouvel ordinateur en faisant un backup du system actuel et un restore sur une nouvelle installation , le problème a suivi dans la sauvegarde... pas d'accès au index.htm erreur 403 forbidden dans le navigateur et permissid denied dans le http error log
ca existe ca un ticket de support pour la SME?
-
ca existe ca un ticket de support pour la SME?
Regarde ici : http://www.koozali.org/partners/find-a-partner
EDIT : attends aussi les conseils des autres intervenants du post, je t’indique ce que je connais mais peut-être eux auront d'autres solutions ou arguments ;-)
-
ton problème est que le user www n’est pas membre du groupe shared. ce qui n’est pas normal.
un dernier test
db accounts show Primary
-
Voila :
[root@www1 ~]# db accounts show Primary
Primary=ibay
CgiBin=enabled
Group=shared
Modifiable=no
Name=Primary i-bay
PasswordSet=no
Passwordable=no
PublicAccess=global
Removable=no
SSLRequireSSL=enabled
UserAccess=wr-admin-rd-group
il faudrait donc que je trouve comment remettre le user www dans le groupe shared?
si je fait : usermod -aG shared www ? ca serai bon?
en modifiant sur un serveur de test (clone que j'ai fait hier soir.. via un backup un installation sur un nouvel ordinateur et une restauration du backup le probleme avait suivi le backup (pas d'acces a index.htm (erreur 403)))
j'ai de nouveau acces a index.htm !
je test tout à l'heure sur le "vrai serveur" et reprend la config pour les certificat a zéro.
-
Please remember that SME is NOT a normal server - lots of things are templated to stop you making mistakes and breaking things.
Manual intervention is a matter of last resort, particularly if you say you are inexperienced..... things will not always work the way you expected.
So before you start messing about, perhaps you ought to tell us how you managed to remove admin from the shared group ? We need to make sure that doesn't happen again.
-
Hi again
Thank you a lot it work
I make sommething strange but it is work!
on the server I do the command usermod -aG shared www it is put www dans le group shared I check it whith command grep shared /etc/group Merci jean-philippe
after that it is doesn't work? erreur 403 forbidden -- Permissions access denied in http log file :shock: :???:
For solve the problem, to understand this morning on the "test server I have created a new ibay and put the hostname on this ibay... juste for to do some test if I can access to this ebay, same problem on this ibay no acces(error403), permissions denied , I delete the ibay on the test server .. and see the post for the user acces from Jean-philippe I make the operation and it is work! ok good I forgot this ibay creation and delete....
this evening on the prod server after correct the user permission and doesn't work I create a new ibay on the prod server and put the domain on this ibay and after this operation I can acces again to index.htm !!! ok good
I redo the let'sencrypt/SSL/dehydrated configuration and It is work! Strange but good new for my Week-end! :D
Thank you a lot
@Reept I try to understand the problem and I don't know what happend I check in admin email and I see the previously certificat renew is date to the last update to smeserver-letsencrypt-0.5-17.noarch you are already help me at this momnent.. (26novemeber2021) after I do anything whith this server.
If you want log or over information I can give you what you want :)
Thanks
-
prendre le temps de lire
history|less
mais n’envoie pas en ligne le contenu ca a tu as peut etre des informations confidentielles au milieu.
le usermod a partiellement aidé, car sme utilsie deux bases de données. les fichiers unix et une base ldap.
malheureusement usermod ne change pas le contenu de ldap donc tes deux bases ne sont pas synchronisées. apache et pam ne lisent que les fichiers unix dans ta configuration mais dans une autre situation cela peut devenir problematique.
si tu peux retuliser ton backup sur une vm puis installer phpldapadmin tu pourrais avant utilisation de usermod voir le contenu de la base ldap pour le group shared. si www y est present, il y’a des chances que ton probleme soit lié a une commande type usermod ou une edition manuelle de /etc/group.
il serait interessant de comprendre pour eviter que cela se reproduise. et reparer queqlue chose au besoin.
-
Bonjour
Je n'ai pas trouver de usermod ni de /etc/group dans mon history je peux vous l'envoyer en MP si vous le souhaitez
dès que j'ai un peu de temps j'essaye de faire restaurer mon backup sur une autre machine et mettre phpldapadmin