Projet

Général

Profil

Tâche #18433

Scénario #18360: Finaliser la configuration et le packaging d'EoleSSO en mode cluster

Configuration de stunnel4 pour sécuriser la connexion à la base Redis

Ajouté par Bruno Boiget il y a plus de 7 ans. Mis à jour il y a plus de 7 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Bruno Boiget
Version cible:
Distribution EOLE - sprint 2016 51 Equipe MENSR (1 semaine)
Début:
19/12/2016
Echéance:
% réalisé:

100%

Temps estimé:
4.00 h
Temps passé:
8.00 h
Restant à faire (heures):
0.0

Description

Mise en place de la configuration sur :

  • la machine hébergeant EoleSSO
  • la machine hébergeant la base Redis

Si installation d'une instance d'EoleSSO sur la machine hébergeant Redis, attaquer directement la base sur le port local.

Révisions associées

Révision 8da3f78c (diff)
Ajouté par Bruno Boiget il y a plus de 7 ans

Début de mise en place des fichiers de configuration du mode cluster

ref #18433
ref #18126

Révision 9aeb87e1 (diff)
Ajouté par Bruno Boiget il y a plus de 7 ans

Corrections sur la configuration stunnel4

ref #18433 @2h

Historique

#1 Mis à jour par Bruno Boiget il y a plus de 7 ans

sur les 2 machines, génération du certificat (dans /usr/share/eole/certs) :

# generation du certificat pour stunnel (protection de Redis)
gen_certif(certfile='/etc/ssl/certs/stunnel.crt', keyfile='/etc/ssl/private/stunnel.key', regen=regen)
# creation d'un fichier PEM contenant certificat et clef
concat_fic('/etc/ssl/certs/stunnel.pem', ['/etc/ssl/certs/stunnel.crt', '/etc/ssl/private/stunnel.key'], True)
# application des droits 640 sur le fichier stunnel.pem
finalise_cert('/etc/ssl/certs/stunnel.pem', '/etc/ssl/private/stunnel.key', cert_chmod="640")

exemple de configuration stunnel côté client (/etc/stunnel/redis_client.conf) :

pid = /var/run/stunnel.pid

[redis]
cert = /etc/ssl/certs/stunnel.pem
CApath = /etc/stunnel/eole
verify = 2
SSLversion=TLSv1
accept = 192.168.0.24:6379
connect = 127.0.0.1:6379

exemple de configuration stunnel côté serveur (/etc/stunnel/redis_serveur.conf) :

pid = /var/run/stunnel.pid

[redis]
cert = /etc/ssl/certs/stunnel.pem
CApath = /etc/stunnel/eole
verify = 2
SSLversion=TLSv1
accept = 192.168.0.24:6379
connect = 127.0.0.1:6379
Précisions sur les certificats :
  • la CA du serveur doit être copiée dans le répertoire /etc/stunnel/eole du client (et vice-versa). Il faut ensuite lancer c_rehash sur ce dossier
  • le certificat côté client doit avoir un 'purpose' à client ou ne pas le spécifier (serveur en dur dans certif-eole.crt)
  • il est possible de passer verify à 3, mais dans ce cas, il faut posséder la CA et le certificat du pair dans CApath

#2 Mis à jour par Bruno Boiget il y a plus de 7 ans

  • Statut changé de Nouveau à En cours
  • Assigné à mis à Bruno Boiget
  • % réalisé changé de 0 à 60

#3 Mis à jour par Bruno Boiget il y a plus de 7 ans

  • Restant à faire (heures) changé de 4.0 à 1.0

#4 Mis à jour par Bruno Boiget il y a plus de 7 ans

  • Restant à faire (heures) changé de 1.0 à 0.5

#5 Mis à jour par Bruno Boiget il y a plus de 7 ans

  • Statut changé de En cours à Résolu

#6 Mis à jour par Daniel Dehennin il y a plus de 7 ans

  • % réalisé changé de 60 à 100

#7 Mis à jour par Joël Cuissinat il y a plus de 7 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.5 à 0.0

Formats disponibles : Atom PDF