Autor Zpráva
TomášK
Profil
Chci apache použít jako proxy, vyžadovat klientské certifikáty. Kromě ověření CA chci, aby apache povolil jen vyjmenované certifikáty, třeba povolit jen konkrétní (issuer-serial) kombinace, fingerprinty.

Chtěl jsem využít AuthBasicFake:

 <Directory "/var/www/html">
    AuthType basic
    AuthName "Restricted area"
    AuthUserFile /etc/apache2/users.passwd
    AuthBasicFake "%{SSL_CLIENT_CERT_RFC4523_CEA}"
    Require valid-user
  </Directory>

Bohužel to nefunguje (přístup zamítnutý):

AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)

Pokud odstraním 'Require valid-user', je vidět i příčina - autorizace se provede před autentizací:

AH01626: authorization result of Require all granted: granted
AH01626: authorization result of <RequireAny>: granted
AH02457: AuthBasicFake: "Authorization: Basic eGpvZTpwYXNzd29yZA=="

Neví někdo jak docílit požadovaného?


O SSLOptions +FakeBasicAuth vím, funguje, ale jako username se použije DN. Tak mě napadá, je nějaké RFC na to, jestli můžou mít dva platné certifikáty od jedné autority stejné DN? Vybavuju si, že openssl ohlásí chybu, pokud se o to pokusím.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: