Sidebar

Zabbix Summit 2022
View presentations

1 Problèmes de type de connexion ou d'autorisation

Le serveur est configuré pour se connecter en PSK à l'agent, mais l'agent n'accepte que les connexions non cryptées

Dans le journal du serveur ou du proxy (avec mbed TLS -// PolarSSL //- 1.3.11)

Get value from agent failed: ssl_handshake(): SSL - The connection indicated an EOF

Dans le journal du serveur ou du proxy (avec GnuTLS 3.3.16)

Get value from agent failed: zbx_tls_connect(): gnutls_handshake() failed: \
           -110 The TLS connection was non-properly terminated.

Dans le journal du serveur ou du proxy (avec OpenSSL 1.0.2c)

Get value from agent failed: TCP connection successful, cannot establish TLS to [[127.0.0.1]:10050]: \
           Connection closed by peer. Check allowed connection types and access rights

Un côté se connecte avec un certificat mais l'autre côté n'accepte que le PSK ou vice versa

Dans n'importe quel journal (avec mbed TLS -PolarSSL- ) :

failed to accept an incoming connection: from 127.0.0.1: ssl_handshake():\
           SSL - The server has no ciphersuites in common with the client

Dans n'importe quel journal (avec GnuTLS) :

failed to accept an incoming connection: from 127.0.0.1: zbx_tls_accept(): gnutls_handshake() failed:\
           -21 Could not negotiate a supported cipher suite.

Dans n'importe quel journal (avec OpenSSL 1.0.2c) :

failed to accept an incoming connection: from 127.0.0.1: TLS handshake returned error code 1:\
           file .\ssl\s3_srvr.c line 1411: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher:\
           TLS write fatal alert "handshake failure"

Tentative d'utiliser le sender Zabbix compilé avec le support TLS pour envoyer des données au serveur/proxy Zabbix compilé sans TLS

Dans le journal côté connexion :

Linux :

...In zbx_tls_init_child()
       ...OpenSSL library (version OpenSSL 1.1.1  11 Sep 2018) initialized
       ...
       ...In zbx_tls_connect(): psk_identity:"PSK test sender"
       ...End of zbx_tls_connect():FAIL error:'connection closed by peer'
       ...send value error: TCP successful, cannot establish TLS to [[localhost]:10051]: connection closed by peer

Windows :

...OpenSSL library (version OpenSSL 1.1.1a  20 Nov 2018) initialized
       ...
       ...In zbx_tls_connect(): psk_identity:"PSK test sender"
       ...zbx_psk_client_cb() requested PSK identity "PSK test sender"
       ...End of zbx_tls_connect():FAIL error:'SSL_connect() I/O error: [0x00000000] The operation completed successfully.'
       ...send value error: TCP successful, cannot establish TLS to [[192.168.1.2]:10051]: SSL_connect() I/O error: [0x00000000] The operation completed successfully.
Dans le journal côté serveur/proxy :
...failed to accept an incoming connection: from 127.0.0.1: support for TLS was not compiled in

Un côté se connecte à PSK mais un autre utilise LibreSSL ou a été compilé sans support de chiffrement

LibreSSL ne supporte pas PSK.

Dans le journal côté connexion :

...TCP successful, cannot establish TLS to [[192.168.1.2]:10050]: SSL_connect() I/O error: [0] Success

Dans journal de l'autre côté :

...failed to accept an incoming connection: from 192.168.1.2: support for PSK was not compiled in

Dans l'interface Web Zabbix :

Get value from agent failed: TCP successful, cannot establish TLS to [[192.168.1.2]:10050]: SSL_connect() I/O error: [0] Success

Un côté se connecte à PSK mais un autre utilise OpenSSL avec le support PSK désactivé

Dans le journal côté connexion :

...TCP successful, cannot establish TLS to [[192.168.1.2]:10050]: SSL_connect() set result code to SSL_ERROR_SSL: file ../ssl/record/rec_layer_s3.c line 1536: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure: SSL alert number 40: TLS read fatal alert "handshake failure"

Dans le journal de l'autre côté :

...failed to accept an incoming connection: from 192.168.1.2: TLS handshake set result code to 1: file ssl/statem/statem_srvr.c line 1422: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher: TLS write fatal alert "handshake failure"