View Trackers | Bugs | Export CSV

Date:
2011-09-12 11:51
Priority:
5
State:
Open
Submitted by:
CDG59 creaticcdg (creaticcdg59)
Assigned to:
franck meignen (fmeignen)
Component:
Administration
Severity:
important
Resolution:
Bug confirmé
Summary:
Accès sécurisé à la plateforme

Detailed description
La plateforme de production ne doit pas accepter de connexion sans certificat (surtout pas pour les administrateurs)
Message  ↓
Date: 2013-04-03 10:33
Sender: CDG59 creaticcdg

Nous sommes conscient du cas particulier des tablettes, mais souhaitons tout de même obliger la connexion par certificat.
Il n'y aura plus d'authentification login/mdp, même pour plusieurs utilisateurs avec le même certificat ?

Date: 2013-03-19 16:33
Sender: CDG59 creaticcdg

Bonne question ! Je vois ça avec Sylvain et Maurice.

Date: 2013-03-15 16:28
Sender: franck meignen

Je rebondi sur cette réponse pour revenir sur l'origine de ce bug.
A l' heure actuelle les certificats sont "optionnels" sur votre plate-forme.
L’accès au mail sécurisé s'effectue sans certificat(PF de test).
Si nous rendons "obligatoires" l'authentification par certificat, il n' y aura plus d'authentification par login / mot de passe.
Quid des tablettes ?

Date: 2013-03-15 16:16
Sender: franck meignen

Je viens de reproduire le bug.

Test effectué sous firefox avec un certificat matériel attaché à un utilisateur.

Lors de l' accès à l'application, un certificat est demandé, je le sélectionne, une session SSL est créée, j'obtiens également la possibilité via la fonction "autologin" sur pastell de pouvoir créer une session PHP.(à confirmer par EP)

Je sélectionne mon nom d'utilisateur dans l'onglet "connexion automatique", ma session PHP est créée, je suis connecté à l' application.

Je retire mon certificat matériel, j'obtiens une erreur très explicite et tout à fait légitime "ssl_error_token_insertion_removal".
J'actualise la page, on me redemande un certificat (normal), j'annule cette demande, je suis toujours connecté avec ma sessions PHP.

La navigation dans l'application ne devrais pas fonctionner sans certificat.

Date: 2013-03-15 15:04
Sender: FusionForge Admin

j'ai refait un test (FF) en annulant toute demande de certificat apres retrait du 1er certificat:
rien n'y fait: je reviens systematiquement sur la page de login.
si je tue mon navigateur, il me redemande un certificat.

reponse à la question subsidiaire:
si un certificat n'est pas attaché spécifiquement à une user, alors n'importe quel certificat compatible avec l'autorité de confiance enregistré dans pastell permet d'arriver à la page de login.

Date: 2013-03-07 10:46
Sender: CDG59 creaticcdg

Je me connecte en admin avec mon certificat matériel. J'enlève la clé, où que je clique ensuite, j'arrive sur cette page (avec Firefox) :

"Échec de la connexion sécurisée

Une erreur est survenue pendant une connexion à cdg59.pastell.demonstrations.adullact.org.

Le jeton PKCS#11 a été inséré ou supprimé pendant qu'une opération était en cours.

(Code d'erreur : ssl_error_token_insertion_removal)"

Si je clique sur le bouton Réessayer ou que j'actualise la page, on me demande de choisir un certificat. Que j'en choisisse un (du coup autre que ma clé) ou que j'annule, je reviens quand même sur la page demandé, connecté en tant qu'admin, et pouvant tout faire.

Avec IE, je n'ai même pas de message d'erreur, je peux continuer à naviguer.

Petite question : En théorie, si je crée un compte sans lui lier de certificat, est-ce que le fait d'imposer la connexion avec certificat bloque la connexion ? Parce qu'actuellement, je peux me connecter avec un compte sans certificat...

Date: 2013-01-25 14:52
Sender: CDG59 creaticcdg

Super, j'ai hâte de tester ça !

Date: 2013-01-17 09:36
Sender: Eric Pommateau

Dans la révision 445, j'ai extrait la partie lecture de mail sécurisé dans un autre répertoire, il est ainsi possible de protéger les mails sécurisé via SSL sans certificat et protéger la partie normal avec certificat.

Date: 2013-01-16 09:47
Sender: CDG59 creaticcdg

Voici une proposition de solution :

Comme toute authentification sur apache, l'authentification par certificat peut se configurer à la 'location' (partie d'une arborescence du site) :

How can I force clients to authenticate using certificates for a particular URL, but still allow arbitrary clients to access the rest of the server?

To force clients to authenticate using certificates for a particular URL, you can use the per-directory reconfiguration features of mod_ssl:
httpd.conf

SSLVerifyClient none
SSLCACertificateFile conf/ssl.crt/ca.crt

<Location /secure/area>
SSLVerifyClient require
SSLVerifyDepth 1
</Location>

Lien vers la doc : http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html

Voir si cela peut s'appliquer ici.
Actuellement, un autre problème se pose, c'est que l'accès au mail sécurisé est gêné si l'utilisateur possède déjà des certificats. En effet, il arrive souvent que la page ne puisse s'afficher si on choisit un certificat, alors qu'elle s'affiche bien si on clique sur le bouton "Annuler".

Date: 2012-10-22 15:15
Sender: Pascal Kuczynski

à noter, qu'on peut vouloir imposer un certificat même au destinataire du mail securisé... dans ce cas, on reproduit vraiment le mode de la lettre recommandée AR.
sion, il va falloir poser une nouvelle URL...

Date: 2012-06-08 10:27
Sender: Pascal Kuczynski

verification en cours...

Date: 2012-02-23 10:48
Sender: Pascal Kuczynski

attention: si on impose systematiquement l'emploi d'un certificat, on ne peut plus lire les mails securisés sans certificat!
ce que, de memoire, on ne souhaitait pas imposer!

merci au CDG de preciser ce point.

Date: 2012-02-14 11:16
Sender: Pascal Kuczynski

où en sommes nous?

Date: 2012-01-30 11:54
Sender: CDG59 creaticcdg

C'est déjà fixé ou ce le sera dans une prochaine version ?

Field Old Value Date By
ResolutionNon reproductible2013-03-15 16:16fmeignen
ResolutionNone2013-03-15 15:04admin
ResolutionFixé2013-03-07 10:46creaticcdg59
ResolutionNone2013-01-17 09:36epommate
ResolutionAttente d'une réponse2013-01-16 09:47creaticcdg59
Severitybloquant2012-10-22 15:15pascal
assigned_tocreaticcdg592012-06-08 10:27pascal
assigned_tofmeignen2012-02-23 10:48pascal
summaryAccès à la plateforme2012-02-23 10:48pascal
ResolutionNone2012-02-14 11:16pascal
status_idClosed2012-01-30 11:54creaticcdg59
close_date2012-01-26 11:232012-01-30 11:54creaticcdg59
ResolutionFixé2012-01-30 11:54creaticcdg59
ResolutionNone2012-01-26 11:24pascal
status_idOpen2012-01-26 11:23pascal
close_dateNone2012-01-26 11:23pascal
status_idClosed2011-11-24 15:38creaticcdg59
close_date2011-10-18 10:362011-11-24 15:38creaticcdg59
ResolutionAccepté comme un bug2011-11-24 15:38creaticcdg59
status_idOpen2011-10-18 10:36creaticcdg59
close_dateNone2011-10-18 10:36creaticcdg59
ResolutionNone2011-10-13 15:02pascal
assigned_tonone2011-09-19 18:31pascal
FEDER AQUINETIC Aquitaine Powered By FusionForge Collaborative Development Environment Charte d'utilisation / Nous contacter / Mentions légales Haut de page