Projet

Général

Profil

Scénario #31671

Eolelisation du MITM "client" sur tous les modules EOLE

Ajouté par Gilles Grandgérard il y a environ 3 ans. Mis à jour il y a environ 3 ans.

Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Emmanuel GARETTE
Catégorie:
-
Version cible:
Prestation Cadoles MEN 08-10
Début:
11/01/2021
Echéance:
12/03/2021
% réalisé:

100%

Points de scénarios:
2.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
EOLE 2.8.1
Liens avec la release:
Auto

Description

Suite du scénario #31508

Dans le cadre d'un MITM, nous avons prévu comment propager manuellement les certificats d'un serveur Scribe/Seth vers les clients (formalisation des éléments contenus dans #31474)
l'objet de ce scénario est de permettre la propagation aux modules EOLE présent dans l'infrastructure.

Solutions à mettre en œuvre

  • EOLE >= 2.8.1
  • A faire sur eole-common pour rendre la fonctionnalité disponible sur tous les modules
  • Ajouter une variable sous 'activer_proxy_client' permettant d'indiquer que le proxy fait du MITM : 'proxy_client_mitm' oui/non.
  • Ajouter une variable sous 'activer_proxy_client' permettant d'indiquer que le fichier CA utilisé par le MITM: 'proxy_client_ca' = fichier CA. (à voir : est-ce utile ? on pourrait auto télécharger le CA et vérifier le fingerprint)
  • Documenter les variables en 2.8 dans Scenari : http://eole.ac-dijon.fr/documentations/2.8/completes/HTML/Eolebase/co/01_generalBasiqueCommun.html#mbNf1

Critères d'acceptation

  • L'Amon 2.8.1 ou AmonEcole 2.8.1 fournit une infrastructure proxy MITM
  • Un module (eolebase,scribe) est configuré avec le MITM
  • les requêtes HTTPS passent sans problème.
  • 'openssl s_client -connect https:... -showcerts' montre le CA MITM

Sous-tâches

Tâche #31820: etude corrections e2guardian et test 5.4.2rFerméPhilippe Caseiro

Tâche #31840: Pour faciliter l'intégration de l'empreinte, le diagnose de l'Amon devrait le présenterFerméEmmanuel GARETTE

Tâche #31843: Configuration du MITM proxy sur un client EOLE + mise en placeFerméEmmanuel GARETTE

Tâche #31847: Documenter la fonctionnalitéFerméBenjamin Bohard

Tâche #31860: Installer l’autorité de certification du proxy lors du reconfigureFerméEmmanuel GARETTE

Demandes liées

Lié à Distribution EOLE - Tâche #31741: Valider le scénario Eolelisation du MITM "client" sur tous les modules EOLE Fermé 24/02/2021
Copié depuis Distribution EOLE - Scénario #31508: Eolelisation du MITM sur Amon/AmonEcole 2.8.1 Terminé (Sprint) 11/01/2021 29/01/2021

Révisions associées

Révision b082e260 (diff)
Ajouté par Joël Cuissinat il y a presque 3 ans

dicos/00_common.xml : cosmetic fix for activer_proxy_client_mitm

Ref: #31671

Historique

#1 Mis à jour par Gilles Grandgérard il y a environ 3 ans

  • Copié depuis Scénario #31508: Eolelisation du MITM sur Amon/AmonEcole 2.8.1 ajouté

#2 Mis à jour par Gilles Grandgérard il y a environ 3 ans

  • Sujet changé de Eolelisation du MITM sur Amon/AmonEcole 2.8.1 à Eolelisation du MITM sur tous les modules
  • Description mis à jour (diff)
  • Statut changé de Résolu à Nouveau
  • Assigné à Emmanuel GARETTE supprimé
  • Version cible changé de Prestation Cadoles MEN 02-04 à Prestation Cadoles MEN 08-10

#3 Mis à jour par Gilles Grandgérard il y a environ 3 ans

  • Points de scénarios changé de 1.0 à 5.0

#4 Mis à jour par Gilles Grandgérard il y a environ 3 ans

  • Description mis à jour (diff)

#5 Mis à jour par Joël Cuissinat il y a environ 3 ans

  • Description mis à jour (diff)

#6 Mis à jour par Gilles Grandgérard il y a environ 3 ans

  • Points de scénarios changé de 5.0 à 2.0

#7 Mis à jour par Joël Cuissinat il y a environ 3 ans

  • Sujet changé de Eolelisation du MITM sur tous les modules à Eolelisation du MITM "client" sur tous les modules EOLE

#8 Mis à jour par Emmanuel GARETTE il y a environ 3 ans

  • Description mis à jour (diff)

#9 Mis à jour par Emmanuel GARETTE il y a environ 3 ans

  • Assigné à mis à Emmanuel GARETTE

#10 Mis à jour par Joël Cuissinat il y a environ 3 ans

  • Lié à Tâche #31741: Valider le scénario Eolelisation du MITM "client" sur tous les modules EOLE ajouté

#11 Mis à jour par Emmanuel GARETTE il y a environ 3 ans

Pour tester :

sur l'Amon etb1

CreoleSet activer_squid_1_mitm oui

diagnose :

*** Validité du certificat racine du proxy (/etc/eole/squid_CA.crt)
.               signingCA.crt => Ok
.                   Empreinte => SHA256 Fingerprint=2C:C4:B3:5C:6F:74:88:01:EA:09:67:2B:49:AF:58:01:56:1A:BC:86:5A:82:92:C9:81:80:BA:A0:04:F3:EF:A8

Noter l'empreinte.

sur Scribe etb1

Créer le fichier /etc/apt/sources.list.d/https.list avec :

deb https://dl.yarnpkg.com/debian stable Release

Maj-Auto -D + apt update :

  Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown.  Could not handshake: Error in the certificate verification. [IP : 10.1.3.1 3128]

Configure le MITM client dans gen_config

Le message de Maj-Auto change, le certificat Squid est bien accepter :

W: Erreur de GPG : https://dl.yarnpkg.com/debian stable InRelease : Les signatures suivantes n'ont pas pu être vérifiées car la clé publique n'est pas disponible : NO_PUBKEY 23E7166788B63E1E
E: Le dépôt https://dl.yarnpkg.com/debian stable InRelease n'est pas signé.

#12 Mis à jour par Emmanuel GARETTE il y a environ 3 ans

  • Statut changé de Nouveau à Résolu

#13 Mis à jour par Daniel Dehennin il y a environ 3 ans

  • Statut changé de Résolu à Terminé (Sprint)

Formats disponibles : Atom PDF