Re: imap cert auth

2013-05-08 bef zés Magosányi, Árpád 
On 05/08/2013 06:30 PM, Szládovics Péter wrote:
> 2013-05-08 16:36 keltezéssel, "Magosányi, Árpád" írta:
>> Kösz a tippeket, a debugok már be voltak állítva.
>> Végül kiderült, hogy az volt a baj, hogy ugyanabba a PEM-be várja a
>> certet és a CRL-t is.
>
> Ezek szerint a serialt csak appendeled, amikor visszavonsz egy usert?

Egy ilyesmi cronjobot írhatnék rá, mivel cacert a CA:
"""
wget https://crl.cacert.org/revoke.crl
openssl crl -inform der -outform der -in revoke.crl -out revoke.crl.pem
cat /etc/ssl/certs/cacert.org.pem revoke.crl.pem
>/etc/ssl/certs/cacert.org.withcrl.pem
rm -f revoke.crl revoke.crl.pem
"""
A visszavonásos kérdést asszem ezzel lényegében megválaszoltam: rendes
CRL van, csak iszonyú hülye helyen.

Viszont mivel a felhasználóbázis rendesen behatárolt (én egyedül), és a
cacert-ben bízom hogy az én emailcímemre
nem fog más számára kiállítani certet, valamint amúgy is titkosítatlan
hálón jöttek az emailek,
szerintem nem fogom törni magam egy ilyen cronjob írásával.

Ja, hogy már megírtam?


_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: imap cert auth

2013-05-08 bef zés Szládovics Péter 

2013-05-08 16:36 keltezéssel, "Magosányi, Árpád" írta:

Kösz a tippeket, a debugok már be voltak állítva.
Végül kiderült, hogy az volt a baj, hogy ugyanabba a PEM-be várja a
certet és a CRL-t is.


Ezek szerint a serialt csak appendeled, amikor visszavonsz egy usert?
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: imap cert auth

2013-05-08 bef zés Magosányi, Árpád 
Kösz a tippeket, a debugok már be voltak állítva.
Végül kiderült, hogy az volt a baj, hogy ugyanabba a PEM-be várja a
certet és a CRL-t is.
Itt a config, ha valakit esetleg érdekelne. A pam konfigtól még mindig
futkos a hideg a hátamon,
pedig csekkoltam párszor hogy tényleg jónak tűnik így.
# cat /etc/dovecot/passwd
ar...@magosanyi.hu::1000:1000::/home/mag::userdb_mail=mbox:/home/mag/mail:INBOX=/var/mail/mag
# cat /etc/pam.d/dovecot
#%PAM-1.0

auth   sufficientpam_permit.so
account  sufficientpam_permit.so
# dovecot -n
# 2.0.19: /etc/dovecot/dovecot.conf
# OS: Linux 2.6.32-5-xen-amd64 x86_64 Ubuntu 12.04.2 LTS
auth_debug = yes
auth_debug_passwords = yes
auth_ssl_require_client_cert = yes
auth_ssl_username_from_cert = yes
auth_verbose = yes
base_dir = /var/run/dovecot/
mail_debug = yes
passdb {
  driver = pam
}
protocols = imap
ssl = required
ssl_ca = http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: imap cert auth

2013-05-07 bef zés Szládovics Péter 

2013-05-07 19:40 keltezéssel, Magosányi Árpád írta:

Sziasztok!

Cert auth-al szeretnék hozzáférni a postaládámhoz. Gondoltam felteszek
egy imap szervert, és jól bekonfigurálom.
A dovecot-ra esett a választás, de nem igazán akarja. Találtam egy
leírást, ami szerint a dovecotnak megmagyarázzuk, hogy a kliens certből
vegye ki a felhasnzálónevet, majd csináltasson egy plain text authot a
klienssel csak azért, hogy ne vegye figyelembe a jelszót se. Tök vicces.


Szerintem így korrekt :)
Első körben:

auth_debug=yes
mail_debug=yes


Lenne ha működne, de - miután jól belogolja hogy a kliens elküldte a
certjét - azt állítja, hogy a kliens nem küldött használható certet.


Vélhetően ez is korrekt. Kapott certet, csak nem jót.
A usernevet honnan veszi? CN-ből, vagy az email propertyből? Korrekt 
értéket kap?

A cert issuere trusted? Megvan az egész lánc a cert store-ban?


  De
hogy mi a baja, arról szó sincs.
cyrus-hoz meg courier-hez doksit sem találtam ami alapján meg lehetne
közelíteni a problémát.

Száz szónak is egy a vége: megy valakinél imap cert auth-al?


Nem. De ha certificate-ekkel operálsz, akkor a fentieknek nézz utána, a 
két konfigsortól meg kicsit beszédesebb lesz a logod.

BTW 2-es, vagy 1-es dovecot? A megfelelő wikit nézted hozzá?
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

imap cert auth

2013-05-07 bef zés Magosányi Árpád 
Sziasztok!

Cert auth-al szeretnék hozzáférni a postaládámhoz. Gondoltam felteszek
egy imap szervert, és jól bekonfigurálom.
A dovecot-ra esett a választás, de nem igazán akarja. Találtam egy
leírást, ami szerint a dovecotnak megmagyarázzuk, hogy a kliens certből
vegye ki a felhasnzálónevet, majd csináltasson egy plain text authot a
klienssel csak azért, hogy ne vegye figyelembe a jelszót se. Tök vicces.
Lenne ha működne, de - miután jól belogolja hogy a kliens elküldte a
certjét - azt állítja, hogy a kliens nem küldött használható certet. De
hogy mi a baja, arról szó sincs.
cyrus-hoz meg courier-hez doksit sem találtam ami alapján meg lehetne
közelíteni a problémát.

Száz szónak is egy a vége: megy valakinél imap cert auth-al?

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux