<div dir="ltr"><div><div>thanks Dmitri,<br><br></div>I am now testing two-way SSL auth to a Apache webserver using auth_kerb_module which authenticates to IPA, idea is that it will reverse proxy to another server which is under IPA domain.<br></div><div>I will try out mod_nss and later PKINIT.<br><br><br></div><div>thanks for the reply.<br></div><br>-KSHK<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 10, 2015 at 7:10 PM, Dmitri Pal <span dir="ltr"><<a href="mailto:dpal@redhat.com" target="_blank">dpal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 03/10/2015 01:19 PM, Rob Crittenden wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Dmitri Pal wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 03/10/2015 10:22 AM, Rob Crittenden wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
K SHK wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
hi,<br>
<br>
My hortonworks hadoop cluster is keberized with FreeIPA and works<br>
splendid :)<br>
<br>
I want to clarify if SSL authentication with out a login/password will<br>
work against FreeIPA...<br>
<br>
ie. client connects to apache webserver over SSL, and sets in<br>
username via<br>
<br>
<a href="http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslusername" target="_blank">http://httpd.apache.org/docs/<u></u>2.2/mod/mod_ssl.html#<u></u>sslusername</a><br>
<br>
and the webserver will get the valid ticket from freeIPA...<br>
<br>
any idea what type of certificate and apache modules will be needed to<br>
accomplish this?<br>
</blockquote>
IPA doesn't support user SSL certificates at the moment, so that's the<br>
first hurdle. It is being worked on for 4.2. You'd need to include the<br>
PKINIT EKU in the client cert, something that should be configurable<br>
when the work is done.<br>
<br>
The second problem is that the IPA PKINIT configuration is rather<br>
incomplete at the moment. I'm not sure if it is sufficient in it's<br>
current state, even with properly formatted certificates.<br>
<br>
And even further, I"m not familiar enough with PKINIT to know whether a<br>
web-based SSL authentication is enough to get a ticket.<br>
<br>
rob<br>
<br>
</blockquote>
I think it is but the biggest problem is remapping the identities from<br>
the cert to users in identity system - IPA in this case.<br>
I will file a ticket.<br>
<a href="https://fedorahosted.org/freeipa/ticket/4942" target="_blank">https://fedorahosted.org/<u></u>freeipa/ticket/4942</a><br>
<br>
</blockquote>
IIRC with PKINIT the principal is encoded in the certificate so no<br>
mapping is required.<br>
<br>
rob<br>
</blockquote></div></div>
There are several use cases here:<br>
- do PKINIT on the client and then use ST to connect to IPA UI - this is already planned<br>
- use certificate auth via mod_nss directly to IPA.<br>
<br>
The challenge would be to deal with the case when there is no principal (or other good identifier) in the cert and you have to remap.<br>
Unfortunately we can't guarantee that principal is in the cert. Some known entities that we need to work with do not have the principal in the cert.<span class="im HOEnZb"><br>
<br>
-- <br>
Thank you,<br>
Dmitri Pal<br>
<br>
Sr. Engineering Manager IdM portfolio<br>
Red Hat, Inc.<br>
<br></span><div class="HOEnZb"><div class="h5">
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>