Scénario #31671
Eolelisation du MITM "client" sur tous les modules EOLE
Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
Début:
11/01/2021
Echéance:
12/03/2021
% réalisé:
100%
Points de scénarios:
2.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
Liens avec la release:
Auto
Description
Suite du scénario #31508
Dans le cadre d'un MITM, nous avons prévu comment propager manuellement les certificats d'un serveur Scribe/Seth vers les clients (formalisation des éléments contenus dans #31474)
l'objet de ce scénario est de permettre la propagation aux modules EOLE présent dans l'infrastructure.
Solutions à mettre en œuvre¶
- EOLE >= 2.8.1
- A faire sur eole-common pour rendre la fonctionnalité disponible sur tous les modules
- Ajouter une variable sous 'activer_proxy_client' permettant d'indiquer que le proxy fait du MITM : 'proxy_client_mitm' oui/non.
- Ajouter une variable sous 'activer_proxy_client' permettant d'indiquer que le fichier CA utilisé par le MITM: 'proxy_client_ca' = fichier CA. (à voir : est-ce utile ? on pourrait auto télécharger le CA et vérifier le fingerprint)
- Documenter les variables en 2.8 dans Scenari : http://eole.ac-dijon.fr/documentations/2.8/completes/HTML/Eolebase/co/01_generalBasiqueCommun.html#mbNf1
Critères d'acceptation¶
- L'Amon 2.8.1 ou AmonEcole 2.8.1 fournit une infrastructure proxy MITM
- Un module (eolebase,scribe) est configuré avec le MITM
- les requêtes HTTPS passent sans problème.
- 'openssl s_client -connect https:... -showcerts' montre le CA MITM
Sous-tâches
Demandes liées
Révisions associées
dicos/00_common.xml : cosmetic fix for activer_proxy_client_mitm
Ref: #31671
Historique
#1 Mis à jour par Gilles Grandgérard il y a environ 3 ans
- Copié depuis Scénario #31508: Eolelisation du MITM sur Amon/AmonEcole 2.8.1 ajouté
#2 Mis à jour par Gilles Grandgérard il y a environ 3 ans
- Sujet changé de Eolelisation du MITM sur Amon/AmonEcole 2.8.1 à Eolelisation du MITM sur tous les modules
- Description mis à jour (diff)
- Statut changé de Résolu à Nouveau
- Assigné à
Emmanuel GARETTEsupprimé - Version cible changé de Prestation Cadoles MEN 02-04 à Prestation Cadoles MEN 08-10
#3 Mis à jour par Gilles Grandgérard il y a environ 3 ans
- Points de scénarios changé de 1.0 à 5.0
#4 Mis à jour par Gilles Grandgérard il y a environ 3 ans
- Description mis à jour (diff)
#5 Mis à jour par Joël Cuissinat il y a environ 3 ans
- Description mis à jour (diff)
#6 Mis à jour par Gilles Grandgérard il y a environ 3 ans
- Points de scénarios changé de 5.0 à 2.0
#7 Mis à jour par Joël Cuissinat il y a environ 3 ans
- Sujet changé de Eolelisation du MITM sur tous les modules à Eolelisation du MITM "client" sur tous les modules EOLE
#8 Mis à jour par Emmanuel GARETTE il y a environ 3 ans
- Description mis à jour (diff)
#9 Mis à jour par Emmanuel GARETTE il y a environ 3 ans
- Assigné à mis à Emmanuel GARETTE
#10 Mis à jour par Joël Cuissinat il y a environ 3 ans
- Lié à Tâche #31741: Valider le scénario Eolelisation du MITM "client" sur tous les modules EOLE ajouté
#11 Mis à jour par Emmanuel GARETTE il y a environ 3 ans
Pour tester :
sur l'Amon etb1¶
CreoleSet activer_squid_1_mitm oui
diagnose :
*** Validité du certificat racine du proxy (/etc/eole/squid_CA.crt) . signingCA.crt => Ok . Empreinte => SHA256 Fingerprint=2C:C4:B3:5C:6F:74:88:01:EA:09:67:2B:49:AF:58:01:56:1A:BC:86:5A:82:92:C9:81:80:BA:A0:04:F3:EF:A8
Noter l'empreinte.
sur Scribe etb1¶
Créer le fichier /etc/apt/sources.list.d/https.list avec :
deb https://dl.yarnpkg.com/debian stable Release
Maj-Auto -D + apt update :
Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown. Could not handshake: Error in the certificate verification. [IP : 10.1.3.1 3128]
Configure le MITM client dans gen_config
Le message de Maj-Auto change, le certificat Squid est bien accepter :
W: Erreur de GPG : https://dl.yarnpkg.com/debian stable InRelease : Les signatures suivantes n'ont pas pu être vérifiées car la clé publique n'est pas disponible : NO_PUBKEY 23E7166788B63E1E E: Le dépôt https://dl.yarnpkg.com/debian stable InRelease n'est pas signé.
#12 Mis à jour par Emmanuel GARETTE il y a environ 3 ans
- Statut changé de Nouveau à Résolu
#13 Mis à jour par Daniel Dehennin il y a environ 3 ans
- Statut changé de Résolu à Terminé (Sprint)