Session authentikalasa masik sessionnal
Helo! Nem tudom, ertheto-e, szoval olyat (pontosan azt) szeretnem csinalni, mint a tsweb csinal https felett, de a zorp-pal (3-as pro) szeretnem a certificatet ellenoriztetni, vagyis a user kattint egy https oldalra, ellenorzom a cert-jet, ha nem en adtam ki, akkor eldobom a kapcsolatot, (eddig egyszeru), amennyiben ez sikeres, egy masik proxynak az adott ip-rol at kellene engedni a forgalmat. Lehet ilyet? Kosz -- Gabor HALASZ <halasz.g@freemail.hu>
On Wed, 2007-06-13 at 12:54 +0200, Gabor HALASZ wrote:
Helo!
Nem tudom, ertheto-e, szoval olyat (pontosan azt) szeretnem csinalni, mint a tsweb csinal https felett, de a zorp-pal (3-as pro) szeretnem a certificatet ellenoriztetni, vagyis a user kattint egy https oldalra, ellenorzom a cert-jet, ha nem en adtam ki, akkor eldobom a kapcsolatot, (eddig egyszeru), amennyiben ez sikeres, egy masik proxynak az adott ip-rol at kellene engedni a forgalmat. Lehet ilyet? Kosz
Mennyi ideig kell atengedni a forgalmat? Amugy Python oldali scripteléssel meg lehet oldani: * kell egy AuthCache * az engedélyező proxy, sikeres SSL handshake után betesz egy elemet az AuthCache-be * az engedélyezett proxy a config() metódusában megnézi, hogy a cache-ben van-e az adott IP-re vonatkozó elem, ha van engedi, ha nincs dob egy exception-t A kettőnek egy példányban kell futnia. Az AuthCache-nél megadható az engedélyezés timeoutja. -- Bazsi
Balazs Scheidler wrote:
Mennyi ideig kell atengedni a forgalmat?
Nem kritikus, a host ellenorzese a cel (annak fizikai vedelme is biztositott), utana terminalszerver fogja authentikalni a usereket, csak ne tudjon barhonnan (otthon, internetkavezo,stb) belepni. Vpn hasznalata az infrastrukturalis peremfeltetelek miatt nem kivitelezheto.
Amugy Python oldali scripteléssel meg lehet oldani:
* kell egy AuthCache * az engedélyező proxy, sikeres SSL handshake után betesz egy elemet az AuthCache-be * az engedélyezett proxy a config() metódusában megnézi, hogy a cache-ben van-e az adott IP-re vonatkozó elem, ha van engedi, ha nincs dob egy exception-t
Kosz, megprobalom. Errol az authcache-rol van valami dokumentacio, esetleg pelda valamerre? -- Gabor HALASZ <halasz.g@freemail.hu>
Gabor HALASZ wrote:
Helo!
Nem tudom, ertheto-e, szoval olyat (pontosan azt) szeretnem csinalni, mint a tsweb csinal https felett, de a zorp-pal (3-as pro) szeretnem a certificatet ellenoriztetni, vagyis a user kattint egy https oldalra, ellenorzom a cert-jet, ha nem en adtam ki, akkor eldobom a kapcsolatot, (eddig egyszeru),
Mesem olyan egyszeru... Ez most a config (3.1.8-as gpl, az van keznel): def config(self): self.client_need_ssl = TRUE self.server_need_ssl = FALSE self.client_cert_file = "/etc/zorp/server/certificate.pem" self.client_key_file = "/etc/zorp/server/privatekey.pem" self.client_ca_directory = "/etc/zorp/client/ca/" # self.client_crl_directory = "/etc/zorp/client/crl/" self.client_verify_type = SSL_VERIFY_REQUIRED_UNTRUSTED self.timeout = 10000 A certificate es a privatekey jo, az ssl kapcsolat felepul. A ca directoryban ott a cacert.pem. A kek e-betus bongeszoben feljon az ablak, hogy melyik certificate-et hasznalja (a revesre dns is egyezik, bar elesben ez nem lesz meg), majd ezt latom a logban: Untrusted certificate... A loglevel novelesevel sem latok tobbet. Mit rontok el? -- Gabor HALASZ <halasz.g@freemail.hu>
On Wed, Jun 20, 2007 at 01:29:06PM +0200, Gabor HALASZ wrote:
self.client_ca_directory = "/etc/zorp/client/ca/"
itt megvan a "hash" nevu symlink? pl. openssl x509 -noout -hash -in netlock_class-b_cacert.pem ln -s netlock_class-b_cacert.pem 5a5372fc.0 -- lajjan
Janos Lajos wrote:
On Wed, Jun 20, 2007 at 01:29:06PM +0200, Gabor HALASZ wrote:
self.client_ca_directory = "/etc/zorp/client/ca/"
itt megvan a "hash" nevu symlink?
Nincs, leven a pssl.py nem irja, hogy kellene: ga-k8nf-9-1:/usr/share/zorp/pylib/Zorp# fgrep -i hash Pssl.py | wc -l 0 Konkretan ezt irja: client_ca_directory -- [STRING:"":RW:R] Directory containing trusted CAs in PEM format. A cacert.pem-et odaraktam, amivel az osszes kulcsot alairtam.
pl. openssl x509 -noout -hash -in netlock_class-b_cacert.pem
ln -s netlock_class-b_cacert.pem 5a5372fc.0
Nem segitett, ugyanugy untrusted. Azt sem latom, hogy barmit beolvasna abbol a dirbol. A logban latszik, hogy client_cert_file-t es a client_key_file-t beolvassa (az ssl kapcsolat is felepul), de a ca_dir-ben nem turkal, vagy nem irja (loglevel 10), csak indulaskor annyit, hogy tudomasul vette az attributum valtozast. -- Gabor HALASZ <halasz.g@freemail.hu>
On Wed, Jun 20, 2007 at 01:54:13PM +0200, Gabor HALASZ wrote:
Janos Lajos wrote:
On Wed, Jun 20, 2007 at 01:29:06PM +0200, Gabor HALASZ wrote:
self.client_ca_directory = "/etc/zorp/client/ca/"
itt megvan a "hash" nevu symlink?
Nincs, leven a pssl.py nem irja, hogy kellene:
ga-k8nf-9-1:/usr/share/zorp/pylib/Zorp# fgrep -i hash Pssl.py | wc -l 0
Konkretan ezt irja:
client_ca_directory -- [STRING:"":RW:R] Directory containing trusted CAs in PEM format.
A cacert.pem-et odaraktam, amivel az osszes kulcsot alairtam.
ha nincs meg hash neven, akkor az ssl lib nem fogja megtalalni az, hogy a doksi mit ir/nem ir az egy dolog
pl. openssl x509 -noout -hash -in netlock_class-b_cacert.pem
ln -s netlock_class-b_cacert.pem 5a5372fc.0
Nem segitett, ugyanugy untrusted. Azt sem latom, hogy barmit beolvasna abbol a dirbol. A logban latszik, hogy client_cert_file-t es a client_key_file-t beolvassa (az ssl kapcsolat is felepul), de a ca_dir-ben nem turkal, vagy nem irja (loglevel 10), csak indulaskor annyit, hogy tudomasul vette az attributum valtozast.
zorp pro-k a fenti modon mukodnek sok ugyfelnel, gpl-el nincs tapasztalatom -- lajjan
Janos Lajos wrote:
A cacert.pem-et odaraktam, amivel az osszes kulcsot alairtam.
ha nincs meg hash neven, akkor az ssl lib nem fogja megtalalni az, hogy a doksi mit ir/nem ir az egy dolog
Ok, de honnan mashonnan tajekozodjon az ember, mint a doksibol :)
pl. openssl x509 -noout -hash -in netlock_class-b_cacert.pem
ln -s netlock_class-b_cacert.pem 5a5372fc.0
Nem segitett, ugyanugy untrusted. Azt sem latom, hogy barmit beolvasna abbol a dirbol. A logban latszik, hogy client_cert_file-t es a client_key_file-t beolvassa (az ssl kapcsolat is felepul), de a ca_dir-ben nem turkal, vagy nem irja (loglevel 10), csak indulaskor annyit, hogy tudomasul vette az attributum valtozast.
zorp pro-k a fenti modon mukodnek sok ugyfelnel, gpl-el nincs tapasztalatom
Az a baj, hogy most nincs pro licenszunk (kosz, ne ajanlgasson senki ;), a tesztkornyezet epitest meg el akartam kerulni, az ugyfelnel meg maceras kapcsolgatni a firewallt. Mindenesetre kosz. -- Gabor HALASZ <halasz.g@freemail.hu>
On Wed, 2007-06-20 at 14:17 +0200, Gabor HALASZ wrote:
Janos Lajos wrote:
A cacert.pem-et odaraktam, amivel az osszes kulcsot alairtam.
ha nincs meg hash neven, akkor az ssl lib nem fogja megtalalni az, hogy a doksi mit ir/nem ir az egy dolog
Ok, de honnan mashonnan tajekozodjon az ember, mint a doksibol :)
hmm.. probald meg, hogz az openssl le tudja ellenorizni az adott certet a megadott konyvtarral. openssl verify -CApath <cadir> <cert> Elvileg a GPL-s SSL proxy egy az egyben az libssl-t parameterezi fel, tehat ha a fenti mukodik, akkor annak is mukodnie kell(ene). A cert validalas a kereskedelmiben teljesen maskepp mukodik, ott a Zorp sajat maga ellenoriz. -- Bazsi
Balazs Scheidler wrote:
On Wed, 2007-06-20 at 14:17 +0200, Gabor HALASZ wrote:
Janos Lajos wrote:
A cacert.pem-et odaraktam, amivel az osszes kulcsot alairtam. ha nincs meg hash neven, akkor az ssl lib nem fogja megtalalni az, hogy a doksi mit ir/nem ir az egy dolog
Ok, de honnan mashonnan tajekozodjon az ember, mint a doksibol :)
hmm.. probald meg, hogz az openssl le tudja ellenorizni az adott certet a megadott konyvtarral.
Szerintem jo, mert most generaltam az egeszet. A win certmanagere szerint is ok (win kliensek vannak es az ie hasznalata is policy az ugyfelnel).
openssl verify -CApath <cadir> <cert>
Elvileg a GPL-s SSL proxy egy az egyben az libssl-t parameterezi fel, tehat ha a fenti mukodik, akkor annak is mukodnie kell(ene).
openssl verify -CApath /etc/zorp/<nemfontos>/client/ca/ /tmp/certificate-01.pem /tmp/certificate-01.pem: OK Ezt a certificate-01.pem-et (es a cacert.pem-et) exportaltam pkcs12-be es ugy bele a winbe.
A cert validalas a kereskedelmiben teljesen maskepp mukodik, ott a Zorp sajat maga ellenoriz.
Akkor megis jon a tesztkornyezet :( -- Gabor HALASZ <halasz.g@freemail.hu>
Janos Lajos írta:
zorp pro-k a fenti modon mukodnek sok ugyfelnel, gpl-el nincs tapasztalatom
Valoban. Igenyeltem gepidot es kiprobaltam a pro-n, azon megoldotta a problema ezen felet. Kosz
On Thu, 2004-01-01 at 22:16 +0100, Gabor HALASZ wrote:
Janos Lajos írta:
zorp pro-k a fenti modon mukodnek sok ugyfelnel, gpl-el nincs tapasztalatom
Valoban. Igenyeltem gepidot es kiprobaltam a pro-n, azon megoldotta a problema ezen felet. Kosz
Elvileg ennek GPL-ben is kellene mukodnie. Minden mas valtozatlan volt? -- Bazsi
Balazs Scheidler wrote:
On Thu, 2004-01-01 at 22:16 +0100, Gabor HALASZ wrote:
Janos Lajos írta:
zorp pro-k a fenti modon mukodnek sok ugyfelnel, gpl-el nincs tapasztalatom
Valoban. Igenyeltem gepidot es kiprobaltam a pro-n, azon megoldotta a problema ezen felet. Kosz
Elvileg ennek GPL-ben is kellene mukodnie. Minden mas valtozatlan volt?
Elviekben igen :) Majd elhozom a konfigot es kiprobalom. Viszont az eredeti problemahoz visszaterve, nem talalok joforman semmit az authcache-rol azon tul, amit Mag irt anno az unofficial projecthez. Valami peldat tudnatok mondani? -- Gabor HALASZ <halasz.g@freemail.hu>
participants (3)
-
Balazs Scheidler
-
Gabor HALASZ
-
Janos Lajos