Project

General

Profile

Tâche #18433

Scénario #18360: Finaliser la configuration et le packaging d'EoleSSO en mode cluster

Configuration de stunnel4 pour sécuriser la connexion à la base Redis

Added by Bruno Boiget almost 5 years ago. Updated over 4 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
12/19/2016
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

Description

Mise en place de la configuration sur :

  • la machine hébergeant EoleSSO
  • la machine hébergeant la base Redis

Si installation d'une instance d'EoleSSO sur la machine hébergeant Redis, attaquer directement la base sur le port local.

Associated revisions

Revision 8da3f78c (diff)
Added by Bruno Boiget almost 5 years ago

Début de mise en place des fichiers de configuration du mode cluster

ref #18433
ref #18126

Revision 9aeb87e1 (diff)
Added by Bruno Boiget over 4 years ago

Corrections sur la configuration stunnel4

ref #18433 @2h

History

#1 Updated by Bruno Boiget almost 5 years ago

sur les 2 machines, génération du certificat (dans /usr/share/eole/certs) :

# generation du certificat pour stunnel (protection de Redis)
gen_certif(certfile='/etc/ssl/certs/stunnel.crt', keyfile='/etc/ssl/private/stunnel.key', regen=regen)
# creation d'un fichier PEM contenant certificat et clef
concat_fic('/etc/ssl/certs/stunnel.pem', ['/etc/ssl/certs/stunnel.crt', '/etc/ssl/private/stunnel.key'], True)
# application des droits 640 sur le fichier stunnel.pem
finalise_cert('/etc/ssl/certs/stunnel.pem', '/etc/ssl/private/stunnel.key', cert_chmod="640")

exemple de configuration stunnel côté client (/etc/stunnel/redis_client.conf) :

pid = /var/run/stunnel.pid

[redis]
cert = /etc/ssl/certs/stunnel.pem
CApath = /etc/stunnel/eole
verify = 2
SSLversion=TLSv1
accept = 192.168.0.24:6379
connect = 127.0.0.1:6379

exemple de configuration stunnel côté serveur (/etc/stunnel/redis_serveur.conf) :

pid = /var/run/stunnel.pid

[redis]
cert = /etc/ssl/certs/stunnel.pem
CApath = /etc/stunnel/eole
verify = 2
SSLversion=TLSv1
accept = 192.168.0.24:6379
connect = 127.0.0.1:6379
Précisions sur les certificats :
  • la CA du serveur doit être copiée dans le répertoire /etc/stunnel/eole du client (et vice-versa). Il faut ensuite lancer c_rehash sur ce dossier
  • le certificat côté client doit avoir un 'purpose' à client ou ne pas le spécifier (serveur en dur dans certif-eole.crt)
  • il est possible de passer verify à 3, mais dans ce cas, il faut posséder la CA et le certificat du pair dans CApath

#2 Updated by Bruno Boiget almost 5 years ago

  • Status changed from Nouveau to En cours
  • Assigned To set to Bruno Boiget
  • % Done changed from 0 to 60

#3 Updated by Bruno Boiget almost 5 years ago

  • Remaining (hours) changed from 4.0 to 1.0

#4 Updated by Bruno Boiget almost 5 years ago

  • Remaining (hours) changed from 1.0 to 0.5

#5 Updated by Bruno Boiget almost 5 years ago

  • Status changed from En cours to Résolu

#6 Updated by Daniel Dehennin over 4 years ago

  • % Done changed from 60 to 100

#7 Updated by Joël Cuissinat over 4 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

Also available in: Atom PDF