Tâche #18433
Scénario #18360: Finaliser la configuration et le packaging d'EoleSSO en mode cluster
Configuration de stunnel4 pour sécuriser la connexion à la base Redis
Statut:
Fermé
Priorité:
Normal
Assigné à:
Restant à faire (heures):
0.0
Description
Mise en place de la configuration sur :
- la machine hébergeant EoleSSO
- la machine hébergeant la base Redis
Si installation d'une instance d'EoleSSO sur la machine hébergeant Redis, attaquer directement la base sur le port local.
Historique
#1 Mis à jour par Bruno Boiget il y a plus de 7 ans
sur les 2 machines, génération du certificat (dans /usr/share/eole/certs) :
# generation du certificat pour stunnel (protection de Redis) gen_certif(certfile='/etc/ssl/certs/stunnel.crt', keyfile='/etc/ssl/private/stunnel.key', regen=regen) # creation d'un fichier PEM contenant certificat et clef concat_fic('/etc/ssl/certs/stunnel.pem', ['/etc/ssl/certs/stunnel.crt', '/etc/ssl/private/stunnel.key'], True) # application des droits 640 sur le fichier stunnel.pem finalise_cert('/etc/ssl/certs/stunnel.pem', '/etc/ssl/private/stunnel.key', cert_chmod="640")
exemple de configuration stunnel côté client (/etc/stunnel/redis_client.conf) :
pid = /var/run/stunnel.pid [redis] cert = /etc/ssl/certs/stunnel.pem CApath = /etc/stunnel/eole verify = 2 SSLversion=TLSv1 accept = 192.168.0.24:6379 connect = 127.0.0.1:6379
exemple de configuration stunnel côté serveur (/etc/stunnel/redis_serveur.conf) :
pid = /var/run/stunnel.pid [redis] cert = /etc/ssl/certs/stunnel.pem CApath = /etc/stunnel/eole verify = 2 SSLversion=TLSv1 accept = 192.168.0.24:6379 connect = 127.0.0.1:6379Précisions sur les certificats :
- la CA du serveur doit être copiée dans le répertoire /etc/stunnel/eole du client (et vice-versa). Il faut ensuite lancer c_rehash sur ce dossier
- le certificat côté client doit avoir un 'purpose' à client ou ne pas le spécifier (serveur en dur dans certif-eole.crt)
- il est possible de passer verify à 3, mais dans ce cas, il faut posséder la CA et le certificat du pair dans CApath
#2 Mis à jour par Bruno Boiget il y a plus de 7 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Bruno Boiget
- % réalisé changé de 0 à 60
#3 Mis à jour par Bruno Boiget il y a plus de 7 ans
- Restant à faire (heures) changé de 4.0 à 1.0
#4 Mis à jour par Bruno Boiget il y a plus de 7 ans
- Restant à faire (heures) changé de 1.0 à 0.5
#5 Mis à jour par Bruno Boiget il y a plus de 7 ans
- Statut changé de En cours à Résolu
#6 Mis à jour par Daniel Dehennin il y a plus de 7 ans
- % réalisé changé de 60 à 100
#7 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.5 à 0.0