0000174: Impossibilité de se connecter à l'interface web d'E-combox

ID	Project	Category	View Status	Date Submitted	Last Update

0000174	e-comBox	Installation sur Linux	public	2023-10-23 09:47	2024-02-22 13:25

Reporter	eorxeci	Assigned To	aporaf
Priority	normal	Severity	minor	Reproducibility	always
Status	resolved	Resolution	no change required
Platform	Linux	OS	Ubuntu	OS Version	22.04

Summary	0000174: Impossibilité de se connecter à l'interface web d'E-combox
Description	Bonjour, Depuis la mi-octobre, nous ne parvenons plus à nous connecter à l'interface web de gestion de notre e-combox (gestion des sites etc.) Nous sommes dans un réseau de type LAN ; l'adresse ip de la machines hébergeant la solution est 192.168.235.250. Nous utilisons actuellement encore la version 4.1. Les identifiants de connexion sont bien corrects car nous parvenons toujours à nous connecter à l'interface web de Portainer. Nous avons testé plusieurs réinstallations de la solution mais le constat est le même. Nous avons également testé de créer d'autres comptes pour la connexion, avec des niveaux de privilèges différents, sans succès. Nous utilisons les navigateurs web Mozilla Firefox et Google Chrome. Voici les messages d'erreur que nous observons : dans la console Firefox : "Blocage d’une requête multiorigine (Cross-Origin Request) : la politique « Same Origin » ne permet pas de consulter la ressource distante située sur https://192.168.231.250:8800/portainer/api/auth. Raison : échec de la requête CORS. Code d’état : (null)." dans la console Chrome : (lors de la première tentative de connexion) "Failed to load resource: net::ERR_CERT_AUTHORITY_INVALID https://192.168.231.250:8800/portainer/api/auth" (lors des tentatives suivantes) "POST https://192.168.231.250:8800/portainer/api/auth net::ERR_CERT_AUTHORITY_INVALID polyfills.c765f69d8152cd2f.js" Nous soupçonnons peut-être le passage d'une mise à jour de sécurité empêchant l'aboutissement des requêtes vers l'API de Portainer lors de la connexion, mais sans certitude. La migration vers la version 4.2 pourrait-elle résoudre notre problématique ? Ou le problème est-il ailleurs ? Sincèrement Erin Cathignol Intégration, Déploiement et Maintenance des Stations GIP Recia
Tags	No tags attached.

Quantité de mémoire vive (en Go)	32
Machine virtuelle	Non
Passage par un proxy	Non
Qualité de la connexion Internet	Bonne
Navigateur(s) éventuellement utilisé(s)	Firefox, Chrome
Avez-vous tenté de réinitialiser l'environnement ?	Oui
Moment où l'incident est survenu	Autre

aporaf 2023-10-23 11:27 administrator ~0000993	Bonjour, Il s'agit manifestement d'un problème de certificat quand on utilise l'API. Mais, pour l'instant, nous n'en voyons pas les raisons car vous êtes le premier à nous remonter cet incident. Quelle version de chrome et de firefox utilisez-vous ? La mise à jour peut régler le problème car une nouvelle version de Portainer va être créée (vous ne perdez pas de données et vous conservez votre mot de passe) et le certificat auto-signé va être régénéré. D'autant plus que nous avons prévu des logs de Portainer un peu plus bavard sur cette version et les causes de l'incident seront plus faciles à déterminer. Dans un premier temps, pouvez-vous tenter cette mise à jour et nous donner le résultat ? Cordialement,

eorxeci 2023-10-25 11:05 reporter ~0000994	Bonjour, Le navigateur Chrome est en version 117.0.5938.63 (nous avons également testé avec la version 108.0.5359.125) et Firefox en version 115.2.1 (nous avons également testé avec la version 102.8.0). Erratum, nous venons de nous rendre compte que la connexion est bel et bien fonctionnelle lorsque l'on se connecte à la machine en passant par son adresse ip. La connexion échoue uniquement lorsque nous passons par son nom (entrée DNS). Dans les logs du navigateur, nous constatons les éléments suivants : connexion via le nom d'host : requête de type Cross-Plateform -> connexion refusée / bloquée connexion via l'adresse ip : requête de type Same Origin -> connexion autorisée De plus, en désactivant toutes les sécurités du navigateur, le constat est le même. Je suppose donc que le problème ne provient pas du certificat mais d'une erreur de configuration de notre part. Voici le contenu du fichier param.conf de la machine : #!/bin/bash Définition des paramètres utiles à l'application. Version du fichier paramètre (ne pas changer la valeur). VERSION_PARAM="4.1.2" Validation (ou non) de la licence. Si cette variable n'a pas la valeur "true", l'application ne pourra pas être installée. La licence est consultable ici : https://forge.aeif.fr/e-combox/e-combox_scriptslinux/-/raw/v4/LICENCE. Les conditions plus générales de la licence CeCILL sont définies sur le site : http://www.cecill.info. VALIDATION_LICENCE="true" Mot de passe pour la connexion en admin à e-comBox et Portainer. Le mot de passe doit contenir au moins de 12 caractères sans espace. Le mot de passe ne doit pas contenir les caractères spéciaux suivants : \ " ` $ Il ne peut pas être égal à "portnairAdmin" qui est connu de tous Le système met le mot de passe à jour avec celui saisi si les deux conditions suivantes sont réunies 1 - À l'installation ou à la réinitialisation de l'application 2 - Si le mot de passe renseigné a été au préalable modifié sur Portainer Ce mot de passe en clair sera chiffré, puis supprimé à l'installation, à la réinitialisation ou à la reconfiguration de l'application C'est donc normal qu'une fois l'application installée, réinitialisée ou mise à jour, ce paramètre apparaisse vide. MDP_PORTAINER="" Adresse IP privée ou nom de domaine correspondant à une adresse IP privée. Si vous saisissez un nom de domaine, celui-ci doit pouvoir être résolu. Si aucun domaine n'est configuré, les sites seront accessibles à partir du réseau local via cette adresse IP privée. L'adresse IP privée doit obligatoirement être configurée même si le paramètre suivant est renseigné. ADRESSE_IP_PRIVEE="192.168.231.250" Adresse IP publique ou nom de domaine correspondant à une adresse IP publique. Si vous saisissez un nom de domaine, celui-ci doit pouvoir être résolu. Il s'agit du nom de domaine ou de l'adresse IP qui sera utilisée pour la connexion à l'interface, à Portainer et aux sites à la place de l'adresse IP privée. Aucune valeur ne doit donc être saisie ici si vous ne voulez pas cela, notamment si le serveur ne doit pas être accessible de l'extérieur. DOMAINE="" Utilisation d'un Reverse-Proxy externe configuré par vos soins - O/N (N par défaut). Si vous passez par un reverse proxy externe, mettre "O". Les minuscules sont également acceptées. RP_EXT="N" Chemin d'accès éventuel (en cas d'utilisation d'un Reverse-Proxy externe). Ne pas mettre de "/" dans le chemin. CHEMIN="" Dossier en chemin absolu contenant la clé secrète qui chiffre le mot de passe de Portainer. Par défaut /opt/e-combox, il est conseillé de le modifier. En cas de modification après installation, ne pas oublier de déplacer le fichier contenant la clé secrète. DOSSIER_MDP_KEY="/root" Dossier en chemin absolu contenant le mot de passe chiffré. Par défaut /opt/e-combox, il est conseillé de le modifier. En cas de modification après installation, ne pas oublier de déplacer le fichier contenant le mot de passe chiffré. DOSSIER_MDP_CHIFFRE="/root" Port utilisé pour un accès direct à Portainer (8880 par défaut). Ce port n'a vocation à n'être utilisé qu'en cas de dépannage si l'accès via le reverse-proxy est impossible. PORT_PORTAINER="8880" Port utilisé pour l'accès à Portainer, à l'interface et aux sites (8800 par défaut). Il s'agit du seul port exposé. Si aucun service Web n'écoute sur le port 443 de votre serveur, ce dernier peut être utilisé. PORT_RP="8800" Port utilisé pour le registry (5443 par défaut). PORT_REGISTRY="5443" Adresse du Proxy. Saisissez ip-proxy:port. ADRESSE_PROXY="" Hôtes à ignorer par le proxy. Ce paramètre n'est à renseigner que si une adresse de Proxy a été saisie. Saisissez le ou les hôtes séparés par une virgule sans espace. NO_PROXY="" Adresse du réseau interne à Docker. Si ce n'est pas votre première installation de l'application, le réseau a déjà été crée et affecté aux sites existants. Si vous modifiez les paramètres de ce réseau, TOUS LES SITES EXISTANTS SERONT SUPPRIMÉS. NET_ECB="192.168.97.0/24" Suppression des images non associées à un site en cours d'exécution (false par défaut) Cela permet de gagner de l'espace mais aussi de supprimer des images qui ne seront plus jamais utilisées Le premier démarrage des sites sera un peu plus long car les images correspondantes devront être de nouveau téléchargées. Définir le paramètre à "true" si vous voulez supprimer ces images (conseillé lors d'une migration). DEL_IMAGES="true" Les 2 variables qui suivent sont utiles pour donner le chemin vers les éléments pour mettre en place un certificat existant. Vous pouvez les laisser vides dans trois cas. Cas 1 : si vous passez par un reverse proxy externe, les certificats configurés dans ce dernier sont propagés. Cas 2 : l'accès à l'e-comBox ne va se faire que via le réseau local. Cas 3 vous ne disposez pas de certificat pour votre nom de domaine. À noter que le script manage_certificat.sh crée un certificat Let's Encrypt et permet de mettre à jour l'application si une des 6 variables qui suivent ont été modifiées Un certificat auto-signé se créera alors automatiquement via les 4 variables qui suivent. Fichier certificat existant avec le chemin complet /chemin/fichier.crt ou /chemin/fichier.pem. CHEMIN_CERT="" Fichier de la clé privée existante correspondante au certificat avec le chemin complet /chemin/fichier.key. CHEMIN_KEY="" Uniquement si utilisation de manage_certificat.sh pour créer un certificat Let's Encrypt Adresse de courriel non obligatoire pour créer le certificat (mais recommandé par Lets'encrypt) MAIL="" Les 4 variables suivantes sont utiles pour créer un certificat auto signé. Elles sont utilisés pour le certificat du registry local. Elles sont également utilisées pour le reverse proxy (Nginx) si CHEMIN_CERT et CHEMIN_KEY sont vides. Même si vous avez un certificat existant, elles doivent obligatoirement être renseignées. Vous pouvez les modifier comme il vous convient. Code Pays sur 2 lettres. CODE_PAYS="FR" Nom Pays. NOM_PAYS="France" Nom région. NOM_REGION="Centre Val de Loire" Nom organisation. NOM_ORGANISATION="ReseauCerta" Je vais tâcher de réaliser d'autres tests dans la configuration rapidement, y compris le passage à la version 4.2. Sincèrement Erin Cathignol

aporaf 2023-10-31 02:09 administrator ~0000995	Bonsoir, Si vous voulez accéder à l'e-comBox via un DNS correspondant à votre adresse IP privée, il faut remplacer 192.168.231.250 par le DNS. Sinon, il faut laisser l'adresse IP privée et mettre le DNS public dans la variable "Domaine". Cordialement,

Date Modified	Username	Field	Change
2023-10-23 09:47	eorxeci	New Issue
2023-10-23 11:11	aporaf	Assigned To	=> aporaf
2023-10-23 11:11	aporaf	Status	new => assigned
2023-10-23 11:27	aporaf	Status	assigned => acknowledged
2023-10-23 11:27	aporaf	Note Added: 0000993
2023-10-25 11:05	eorxeci	Note Added: 0000994
2023-10-31 02:09	aporaf	Note Added: 0000995
2024-02-22 13:25	aporaf	Status	acknowledged => resolved
2024-02-22 13:25	aporaf	Resolution	open => no change required

View Issue Details

Sincèrement

Activities

Définition des paramètres utiles à l'application.

Version du fichier paramètre (ne pas changer la valeur).

Validation (ou non) de la licence.

Si cette variable n'a pas la valeur "true", l'application ne pourra pas être installée.

La licence est consultable ici : https://forge.aeif.fr/e-combox/e-combox_scriptslinux/-/raw/v4/LICENCE.

Les conditions plus générales de la licence CeCILL sont définies sur le site : http://www.cecill.info.

Mot de passe pour la connexion en admin à e-comBox et Portainer.

Le mot de passe doit contenir au moins de 12 caractères sans espace.

Le mot de passe ne doit pas contenir les caractères spéciaux suivants : \ " ` $

Il ne peut pas être égal à "portnairAdmin" qui est connu de tous

Le système met le mot de passe à jour avec celui saisi si les deux conditions suivantes sont réunies

1 - À l'installation ou à la réinitialisation de l'application

2 - Si le mot de passe renseigné a été au préalable modifié sur Portainer

Ce mot de passe en clair sera chiffré, puis supprimé à l'installation, à la réinitialisation ou à la reconfiguration de l'application

C'est donc normal qu'une fois l'application installée, réinitialisée ou mise à jour, ce paramètre apparaisse vide.

Adresse IP privée ou nom de domaine correspondant à une adresse IP privée.

Si vous saisissez un nom de domaine, celui-ci doit pouvoir être résolu.

Si aucun domaine n'est configuré, les sites seront accessibles à partir du réseau local via cette adresse IP privée.

L'adresse IP privée doit obligatoirement être configurée même si le paramètre suivant est renseigné.

Adresse IP publique ou nom de domaine correspondant à une adresse IP publique.

Si vous saisissez un nom de domaine, celui-ci doit pouvoir être résolu.

Il s'agit du nom de domaine ou de l'adresse IP qui sera utilisée pour la connexion à l'interface, à Portainer et aux sites à la place de l'adresse IP privée.

Aucune valeur ne doit donc être saisie ici si vous ne voulez pas cela, notamment si le serveur ne doit pas être accessible de l'extérieur.

Utilisation d'un Reverse-Proxy externe configuré par vos soins - O/N (N par défaut).

Si vous passez par un reverse proxy externe, mettre "O".

Les minuscules sont également acceptées.

Chemin d'accès éventuel (en cas d'utilisation d'un Reverse-Proxy externe).

Ne pas mettre de "/" dans le chemin.

Dossier en chemin absolu contenant la clé secrète qui chiffre le mot de passe de Portainer.

Par défaut /opt/e-combox, il est conseillé de le modifier.

En cas de modification après installation, ne pas oublier de déplacer le fichier contenant la clé secrète.

Dossier en chemin absolu contenant le mot de passe chiffré.

Par défaut /opt/e-combox, il est conseillé de le modifier.

En cas de modification après installation, ne pas oublier de déplacer le fichier contenant le mot de passe chiffré.

Port utilisé pour un accès direct à Portainer (8880 par défaut).

Ce port n'a vocation à n'être utilisé qu'en cas de dépannage si l'accès via le reverse-proxy est impossible.

Port utilisé pour l'accès à Portainer, à l'interface et aux sites (8800 par défaut).

Il s'agit du seul port exposé.

Si aucun service Web n'écoute sur le port 443 de votre serveur, ce dernier peut être utilisé.

Port utilisé pour le registry (5443 par défaut).

Adresse du Proxy.

Saisissez ip-proxy:port.

Hôtes à ignorer par le proxy.

Ce paramètre n'est à renseigner que si une adresse de Proxy a été saisie.

Saisissez le ou les hôtes séparés par une virgule sans espace.

Adresse du réseau interne à Docker.

Si ce n'est pas votre première installation de l'application, le réseau a déjà été crée et affecté aux sites existants.

Si vous modifiez les paramètres de ce réseau, TOUS LES SITES EXISTANTS SERONT SUPPRIMÉS.

Suppression des images non associées à un site en cours d'exécution (false par défaut)

Cela permet de gagner de l'espace mais aussi de supprimer des images qui ne seront plus jamais utilisées

Le premier démarrage des sites sera un peu plus long car les images correspondantes devront être de nouveau téléchargées.

Définir le paramètre à "true" si vous voulez supprimer ces images (conseillé lors d'une migration).

Les 2 variables qui suivent sont utiles pour donner le chemin vers les éléments pour mettre en place un certificat existant.

Vous pouvez les laisser vides dans trois cas.

Cas 1 : si vous passez par un reverse proxy externe, les certificats configurés dans ce dernier sont propagés.

Cas 2 : l'accès à l'e-comBox ne va se faire que via le réseau local.

Cas 3 vous ne disposez pas de certificat pour votre nom de domaine.

À noter que le script manage_certificat.sh crée un certificat Let's Encrypt et permet de mettre à jour l'application

si une des 6 variables qui suivent ont été modifiées

Un certificat auto-signé se créera alors automatiquement via les 4 variables qui suivent.

Fichier certificat existant avec le chemin complet /chemin/fichier.crt ou /chemin/fichier.pem.

Fichier de la clé privée existante correspondante au certificat avec le chemin complet /chemin/fichier.key.

Uniquement si utilisation de manage_certificat.sh pour créer un certificat Let's Encrypt

Adresse de courriel non obligatoire pour créer le certificat (mais recommandé par Lets'encrypt)

Les 4 variables suivantes sont utiles pour créer un certificat auto signé.

Elles sont utilisés pour le certificat du registry local.

Elles sont également utilisées pour le reverse proxy (Nginx) si CHEMIN_CERT et CHEMIN_KEY sont vides.

Même si vous avez un certificat existant, elles doivent obligatoirement être renseignées.

Vous pouvez les modifier comme il vous convient.

Code Pays sur 2 lettres.

Nom Pays.

Nom région.

Nom organisation.

Issue History