Voir les traceurs | Bugs | Exporter au format CSV
Nous sommes conscient du cas particulier des tablettes, mais souhaitons tout de même obliger la connexion par certificat. Il n'y aura plus d'authentification login/mdp, même pour plusieurs utilisateurs avec le même certificat ?
Bonne question ! Je vois ça avec Sylvain et Maurice.
Je rebondi sur cette réponse pour revenir sur l'origine de ce bug. A l' heure actuelle les certificats sont "optionnels" sur votre plate-forme. L’accès au mail sécurisé s'effectue sans certificat(PF de test). Si nous rendons "obligatoires" l'authentification par certificat, il n' y aura plus d'authentification par login / mot de passe. Quid des tablettes ?
Je viens de reproduire le bug. Test effectué sous firefox avec un certificat matériel attaché à un utilisateur. Lors de l' accès à l'application, un certificat est demandé, je le sélectionne, une session SSL est créée, j'obtiens également la possibilité via la fonction "autologin" sur pastell de pouvoir créer une session PHP.(à confirmer par EP) Je sélectionne mon nom d'utilisateur dans l'onglet "connexion automatique", ma session PHP est créée, je suis connecté à l' application. Je retire mon certificat matériel, j'obtiens une erreur très explicite et tout à fait légitime "ssl_error_token_insertion_removal". J'actualise la page, on me redemande un certificat (normal), j'annule cette demande, je suis toujours connecté avec ma sessions PHP. La navigation dans l'application ne devrais pas fonctionner sans certificat.
j'ai refait un test (FF) en annulant toute demande de certificat apres retrait du 1er certificat: rien n'y fait: je reviens systematiquement sur la page de login. si je tue mon navigateur, il me redemande un certificat. reponse à la question subsidiaire: si un certificat n'est pas attaché spécifiquement à une user, alors n'importe quel certificat compatible avec l'autorité de confiance enregistré dans pastell permet d'arriver à la page de login.
Je me connecte en admin avec mon certificat matériel. J'enlève la clé, où que je clique ensuite, j'arrive sur cette page (avec Firefox) : "Échec de la connexion sécurisée Une erreur est survenue pendant une connexion à cdg59.pastell.demonstrations.adullact.org. Le jeton PKCS#11 a été inséré ou supprimé pendant qu'une opération était en cours. (Code d'erreur : ssl_error_token_insertion_removal)" Si je clique sur le bouton Réessayer ou que j'actualise la page, on me demande de choisir un certificat. Que j'en choisisse un (du coup autre que ma clé) ou que j'annule, je reviens quand même sur la page demandé, connecté en tant qu'admin, et pouvant tout faire. Avec IE, je n'ai même pas de message d'erreur, je peux continuer à naviguer. Petite question : En théorie, si je crée un compte sans lui lier de certificat, est-ce que le fait d'imposer la connexion avec certificat bloque la connexion ? Parce qu'actuellement, je peux me connecter avec un compte sans certificat...
Super, j'ai hâte de tester ça !
Dans la révision 445, j'ai extrait la partie lecture de mail sécurisé dans un autre répertoire, il est ainsi possible de protéger les mails sécurisé via SSL sans certificat et protéger la partie normal avec certificat.
Voici une proposition de solution : Comme toute authentification sur apache, l'authentification par certificat peut se configurer à la 'location' (partie d'une arborescence du site) : How can I force clients to authenticate using certificates for a particular URL, but still allow arbitrary clients to access the rest of the server? To force clients to authenticate using certificates for a particular URL, you can use the per-directory reconfiguration features of mod_ssl: httpd.conf SSLVerifyClient none SSLCACertificateFile conf/ssl.crt/ca.crt <Location /secure/area> SSLVerifyClient require SSLVerifyDepth 1 </Location> Lien vers la doc : http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html Voir si cela peut s'appliquer ici. Actuellement, un autre problème se pose, c'est que l'accès au mail sécurisé est gêné si l'utilisateur possède déjà des certificats. En effet, il arrive souvent que la page ne puisse s'afficher si on choisit un certificat, alors qu'elle s'affiche bien si on clique sur le bouton "Annuler".
à noter, qu'on peut vouloir imposer un certificat même au destinataire du mail securisé... dans ce cas, on reproduit vraiment le mode de la lettre recommandée AR. sion, il va falloir poser une nouvelle URL...
verification en cours...
attention: si on impose systematiquement l'emploi d'un certificat, on ne peut plus lire les mails securisés sans certificat! ce que, de memoire, on ne souhaitait pas imposer! merci au CDG de preciser ce point.
où en sommes nous?
C'est déjà fixé ou ce le sera dans une prochaine version ?
Pas de documents joints