<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Mar 11, 2020 at 2:18 PM Eric Helms <<a href="mailto:ehelms@redhat.com">ehelms@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Mar 11, 2020 at 2:12 PM Brian Bouterse <<a href="mailto:bmbouter@redhat.com" target="_blank">bmbouter@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>tl;dr: What we have today cannot work with rhsm certificates which Katello uses. To resolve, we need to have content guard checking moved to the webserver configs for apache and nginx and not done in pulp-content as it is today.  <a href="https://pulp.plan.io/issues/6323" target="_blank">https://pulp.plan.io/issues/6323</a></div><div><br></div><div>We need to bring the auth to where TLS is terminated because we can't being the client certs to pulp-content due to invalid header characters. As is, pulp-certguard cannot work with Katello's cert types (rhsm certs) so that is driving my changes.</div><div><br></div><div>If anyone has major concerns or other ideas please let me know. In the meantime I'm proceeding moving the authorization to the webserver and then updating pulp-certguard to work with that. This will make pulp-certguard's GA tied to pulpcore 3.3.0. Feedback is welcome.<br></div></div></blockquote><div><br></div><div>What will this mean from a runtime perspective? Or rather, what within the webserver layer will be handling this auth?</div></div></div></blockquote><div>The plan is that it will be a python "access script" the same way we did it in pulp2. The ansible-pulp installer will configure Nginx or Apache to use the access scripts on all installations starting with 3.3. For installs that have another installer, e.g. Katello, the same apache config the Pulp installer installs can be used in Katello's installer.</div><div><br></div><div>What do you think about this? Is this what you were asking?<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div><br></div><div>[0]: <a href="https://pulp.plan.io/issues/6323" target="_blank">https://pulp.plan.io/issues/6323</a><br><br></div><div>Thanks,</div><div>Brian<br></div><div><br></div></div>
_______________________________________________<br>
Pulp-dev mailing list<br>
<a href="mailto:Pulp-dev@redhat.com" target="_blank">Pulp-dev@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pulp-dev" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/pulp-dev</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr"><div dir="ltr"><div><div dir="ltr">Eric Helms<div>Principal Software Engineer</div><div>Satellite and Cloud Services</div></div></div></div></div></div>
</blockquote></div></div>