Re: [ml] Apache e autenticazione con smartcard

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2006 ml@sikurezza.org
Soggetto: Re: [ml] Apache e autenticazione con smartcard
Mittente: Claudio
Data: Tue, 24 Oct 2006 21:03:33 +0200 (CEST)

> On Saturday 21 October 2006 13:41, Claudio wrote:
>> (con PHP, openssl, bash, perl, wget,
>
> tricke tracke e bombe a mano no ? :-PP
>
> Scherzi a parte hai bypassato l'unico lato "oscuro" del lato client ..
> ovvero se e come si possa far "vedere" il famoso lettore di card al
> browser di turno, la compatibilità coi differenti browser di tale
> lettore, la procedra utonto-aware da fornire per l'accesso alla card per
> ognibrowser si voglia supportar, etc ...

Il problema è farlo riconosce al Sistema Operativo... esistono tanti
lettori diversi, con compatibilità diverse per smartcard diverse...  :''(
(infatti solitamente la CA che rilascia il certificato ti molla pure
l'apposito lettore con gli appositi driver (per Windows, ovviamente. E
Mac, se sei fortunato)).

> Lato server, a parte reperire un elenco esaustivo di CA non mi pare ci
> sia nulla di concettualmente complicato ... tra l'altro non vedo il
> motivo di scriptare in 4 linguaggi differenti .. ma forse sto
> semplificando io ;-)

Risposta booleana - Sì, stai semplificando. :-)
Risposta letteraria - Il problema, oltre a trovare l'elenco di tutte le CA
accreditate per certe operazioni, è insito nel tragicomico meccanismo
delle CRL. Da dove le scarichi? Risposta: via HTTP ed LDAP (a norma di
legge) da qualche URL che ti comunica la CA. Dove stanno scritte queste
URL? L'unica fonte attendibile è il CDP (CRL Distribution Points) che si
trova _solo_ nel certificato-utente medesimo! Ergo, come fai a validare un
certificato se per ottenere le CRL che lo convalidano devi prima avere il
certificato che vuoi convalidare?! =8-o

Ok, non ti lascio a metà e ti dico come va a finire.

Gli utenti devono essere "preregistrati". In pratica li fai passare per
una pagina (PHP, nel mio caso) da cui effettui il dump dei certificati.
Ogni TOT ore uno script (BASH, nel mio caso) tramite OPENSSL estrae il CDP
da tutti i certificati e crea una lista "unique" con tutte le URL. Poi in
qualche modo (con WGET e OPENLDAP, nel mio caso) cicli sulla lista è
scarichi le CRL. Tali CRL vanno a finire in una directory, opportunamente
rinominate ed "hashate" con un altro script (c_rehash, nel mio caso, in
PERL). Come vedi non ho detto bugie! ;-)

  -- Claudio

Messaggi successivi:
- Re: [ml] Apache e autenticazione con smartcard, Emiliano Gabrielli (aka AlberT)
- Re: [ml] Apache e autenticazione con smartcard, Emiliano Gabrielli (aka AlberT)

In risposta a:
- [ml] Apache e autenticazione con smartcard, Marco Bertorello
- Re: [ml] Apache e autenticazione con smartcard, Emiliano Gabrielli (aka AlberT)
- Re: [ml] Apache e autenticazione con smartcard, Claudio
- Re: [ml] Apache e autenticazione con smartcard, Emiliano Gabrielli (aka AlberT)

Data:
- precedente: Re: [ml] Apache e autenticazione con smartcard, Claudio
- successivo: Re: [ml] Apache e autenticazione con smartcard, simo
- indice

Argomento:
- precedente: Re: [ml] Apache e autenticazione con smartcard, Emiliano Gabrielli (aka AlberT)
- successivo: Re: [ml] Apache e autenticazione con smartcard, Emiliano Gabrielli (aka AlberT)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005