Project

General

Profile

Scénario #31671

Eolelisation du MITM "client" sur tous les modules EOLE

Added by Gilles Grandgérard almost 2 years ago. Updated over 1 year ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
Category:
-
Start date:
01/11/2021
Due date:
03/12/2021
% Done:

100%

Story points:
2.0
Remaining (hours):
0.00 hour
Velocity based estimate:
Release:
Release relationship:
Auto

Description

Suite du scénario #31508

Dans le cadre d'un MITM, nous avons prévu comment propager manuellement les certificats d'un serveur Scribe/Seth vers les clients (formalisation des éléments contenus dans #31474)
l'objet de ce scénario est de permettre la propagation aux modules EOLE présent dans l'infrastructure.

Solutions à mettre en œuvre

  • EOLE >= 2.8.1
  • A faire sur eole-common pour rendre la fonctionnalité disponible sur tous les modules
  • Ajouter une variable sous 'activer_proxy_client' permettant d'indiquer que le proxy fait du MITM : 'proxy_client_mitm' oui/non.
  • Ajouter une variable sous 'activer_proxy_client' permettant d'indiquer que le fichier CA utilisé par le MITM: 'proxy_client_ca' = fichier CA. (à voir : est-ce utile ? on pourrait auto télécharger le CA et vérifier le fingerprint)
  • Documenter les variables en 2.8 dans Scenari : http://eole.ac-dijon.fr/documentations/2.8/completes/HTML/Eolebase/co/01_generalBasiqueCommun.html#mbNf1

Critères d'acceptation

  • L'Amon 2.8.1 ou AmonEcole 2.8.1 fournit une infrastructure proxy MITM
  • Un module (eolebase,scribe) est configuré avec le MITM
  • les requêtes HTTPS passent sans problème.
  • 'openssl s_client -connect https:... -showcerts' montre le CA MITM

Subtasks

Tâche #31820: etude corrections e2guardian et test 5.4.2rFerméPhilippe Caseiro

Tâche #31840: Pour faciliter l'intégration de l'empreinte, le diagnose de l'Amon devrait le présenterFerméEmmanuel GARETTE

Tâche #31843: Configuration du MITM proxy sur un client EOLE + mise en placeFerméEmmanuel GARETTE

Tâche #31847: Documenter la fonctionnalitéFerméBenjamin Bohard

Tâche #31860: Installer l’autorité de certification du proxy lors du reconfigureFerméEmmanuel GARETTE


Related issues

Related to Distribution EOLE - Tâche #31741: Valider le scénario Eolelisation du MITM "client" sur tous les modules EOLE Fermé 02/24/2021
Copied from Distribution EOLE - Scénario #31508: Eolelisation du MITM sur Amon/AmonEcole 2.8.1 Terminé (Sprint) 01/11/2021 01/29/2021

Associated revisions

Revision b082e260 (diff)
Added by Joël Cuissinat over 1 year ago

dicos/00_common.xml : cosmetic fix for activer_proxy_client_mitm

Ref: #31671

History

#1 Updated by Gilles Grandgérard almost 2 years ago

  • Copied from Scénario #31508: Eolelisation du MITM sur Amon/AmonEcole 2.8.1 added

#2 Updated by Gilles Grandgérard almost 2 years ago

  • Subject changed from Eolelisation du MITM sur Amon/AmonEcole 2.8.1 to Eolelisation du MITM sur tous les modules
  • Description updated (diff)
  • Status changed from Résolu to Nouveau
  • Assigned To deleted (Emmanuel GARETTE)
  • Target version changed from Prestation Cadoles MEN 02-04 to Prestation Cadoles MEN 08-10

#3 Updated by Gilles Grandgérard almost 2 years ago

  • Story points changed from 1.0 to 5.0

#4 Updated by Gilles Grandgérard almost 2 years ago

  • Description updated (diff)

#5 Updated by Joël Cuissinat almost 2 years ago

  • Description updated (diff)

#6 Updated by Gilles Grandgérard almost 2 years ago

  • Story points changed from 5.0 to 2.0

#7 Updated by Joël Cuissinat almost 2 years ago

  • Subject changed from Eolelisation du MITM sur tous les modules to Eolelisation du MITM "client" sur tous les modules EOLE

#8 Updated by Emmanuel GARETTE almost 2 years ago

  • Description updated (diff)

#9 Updated by Emmanuel GARETTE almost 2 years ago

  • Assigned To set to Emmanuel GARETTE

#10 Updated by Joël Cuissinat almost 2 years ago

  • Related to Tâche #31741: Valider le scénario Eolelisation du MITM "client" sur tous les modules EOLE added

#11 Updated by Emmanuel GARETTE almost 2 years ago

Pour tester :

sur l'Amon etb1

CreoleSet activer_squid_1_mitm oui

diagnose :

*** Validité du certificat racine du proxy (/etc/eole/squid_CA.crt)
.               signingCA.crt => Ok
.                   Empreinte => SHA256 Fingerprint=2C:C4:B3:5C:6F:74:88:01:EA:09:67:2B:49:AF:58:01:56:1A:BC:86:5A:82:92:C9:81:80:BA:A0:04:F3:EF:A8

Noter l'empreinte.

sur Scribe etb1

Créer le fichier /etc/apt/sources.list.d/https.list avec :

deb https://dl.yarnpkg.com/debian stable Release

Maj-Auto -D + apt update :

  Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown.  Could not handshake: Error in the certificate verification. [IP : 10.1.3.1 3128]

Configure le MITM client dans gen_config

Le message de Maj-Auto change, le certificat Squid est bien accepter :

W: Erreur de GPG : https://dl.yarnpkg.com/debian stable InRelease : Les signatures suivantes n'ont pas pu être vérifiées car la clé publique n'est pas disponible : NO_PUBKEY 23E7166788B63E1E
E: Le dépôt https://dl.yarnpkg.com/debian stable InRelease n'est pas signé.

#12 Updated by Emmanuel GARETTE almost 2 years ago

  • Status changed from Nouveau to Résolu

#13 Updated by Daniel Dehennin over 1 year ago

  • Status changed from Résolu to Terminé (Sprint)

Also available in: Atom PDF