Problème de communication avec TLS

Ce forum est dédié au nouveautés, événements autour du projet Opsi
Antworten
Benutzeravatar
otto
uib-Team
Beiträge: 195
Registriert: 08 Aug 2017, 12:16

Problème de communication avec TLS

Beitrag von otto »

Chers utilisateurs d'opsi,

cela a déjà menée à plusieurs demandes en forum:

De temps en temps il y a des interruptions de la communication avec le de-fait-SSL-standard TLSv1.2 entre les bibliothèques de Java et Python. Cela peut mener aux erreurs à l'execution du configed (surtout pendant le chargement des fichiers log), mais peut aussi mener à une interruption avant de la démarrage du configed pendant le chargement de configed.jar. Il est aussi possible que le timing joue une rôle car ce phénomène aussi dépend de la temps de latence du résau. Avec python3 (à partir de opsi 4.1) ce problème semble à ne pas survenir.

Ces erreurs ne surviennent pas si la communication SSL fonctionne avec le vieux standard TLSv1 qui ne mene pas aux problèmes de sécurité dans la communication inhouse. C'est pourquoi la propiété défaut on configed paquet défaut est que la communication SSL est souvenue avec le fallback TLSv1. De fait il y a un autre (premier) paramètre de départ pendant l'appel du opsi-configed:

-Dhttps.protocols="TLSv1"

Dans une autre recherche nous avons découvert qu'il est aussi possible de retourner à autres TLSv1.2 algorithmes (à condition que les deux parties les connaissent). Nous avons réussi à obtenir la communication en ajouter la suivante ligne en /etc/opsi/opsiconfd.conf dans la section service:

accepted ciphers = AES128-GCM-SHA256

(enfin redémarrer opsiconfd). La configuration fallback à TLSv1 du configed n'est plus nécessaire.

Cela a aussi l'avantage qu'il est possible de charger le configed par Webstart. Mais il est encore possible que des autres components ont des problèmes avec cet algorithme, p.ex. sous Windows XP (si encore en utilisation).

Il est aussi possible de choisir l'alternative cipher par propriété. Puis opsiconfd et opsi-configed se décident pour la communication avec TLSv1.2 avec ce cipher, mais cela n'aide pas pour le webstart du configed.

Salutations de Mayence!
R. Röder
Antworten