-
Important Announcement for the TrueNAS Community.
The TrueNAS Community has now been moved. This forum has become READ-ONLY for historical purposes. Please feel free to join us on the new TrueNAS Community Forums
Suche nach einer Lösung für FTP over TLS mit Client-Anmeldung per Zertifikat aber ohne Eingabe eines Passwortes.
- Thread starter switt831
- Start date
micneu
Patron
- Joined
- Mar 23, 2019
- Messages
- 474
Keine Ahnung, hast du es schon versucht?
Oder hast du es schon am laufen unter einem anderen os, so wie du fragst hast du es ja irgend wo am laufen
mir ist nochwas eingefallen, warum nicht sftp mit key`s
kannst du mal genau erklären warum du es so umsetzen möchtest und was genau die problemstellung ist?
ich kann nur sagen das wir in der firma komplett von ftp(s) weg sind und alle kunden/dienstleister auf sftp umgestell haben (nicht mit einer truenas)
Oder hast du es schon am laufen unter einem anderen os, so wie du fragst hast du es ja irgend wo am laufen
mir ist nochwas eingefallen, warum nicht sftp mit key`s
kannst du mal genau erklären warum du es so umsetzen möchtest und was genau die problemstellung ist?
ich kann nur sagen das wir in der firma komplett von ftp(s) weg sind und alle kunden/dienstleister auf sftp umgestell haben (nicht mit einer truenas)
Last edited:
- Joined
- Nov 25, 2013
- Messages
- 7,776
Wenn der TrueNAS FTP-Server das nicht kann, aber du ein Produkt kennst, das es kann - evtl. ProFTPd z.B. - dann kannst du das immer in einem Jail installieren und da laufen lassen.
Genau wie bei @micneu gibt es bei uns nur noch SFTP und kein FTPS - letzteres ist zwar verschlüsselt aber trotzdem Mist, weil die Zweiteilung von Control- und Datenverbindung beibehalten wurde, das macht es für NAT eklig, und durch die Verschlüsselung kann man nichtmal einen transparenten Proxy bauen.
Genau wie bei @micneu gibt es bei uns nur noch SFTP und kein FTPS - letzteres ist zwar verschlüsselt aber trotzdem Mist, weil die Zweiteilung von Control- und Datenverbindung beibehalten wurde, das macht es für NAT eklig, und durch die Verschlüsselung kann man nichtmal einen transparenten Proxy bauen.
Ich würde auch eine Lösung über sftp favorisieren, auch weil dort die Authorisierung per ssh-key fast Standard ist. Aber da der Datendurchsatz bei ftps ohne Verschlüsselung deutlich höher ist als bei sftp will der Kunde daran festhalten. Die Client-Anmeldung per ftps funktioniert problemlos ist aber aus IT-Security Sicht nicht mehr tolerable und sollte auf schlüsselbasierte Anmeldung umgestellt werden.
micneu
Patron
- Joined
- Mar 23, 2019
- Messages
- 474
? keine ahnung, wir haben da nichts festgestellt das es bei uns schlechter ist.
bei uns hat sich kein kunde beschwert das es jetzt langsam ist/wurde. gut vieleicht liegt es auch an unserer dicken hardware das es keinem aufgefallen ist. auf was für einer hardware setzt ihr es denn ein das es langsam werden würde?
dann wünsche ich dir viel glück beim umsetzen
bei uns hat sich kein kunde beschwert das es jetzt langsam ist/wurde. gut vieleicht liegt es auch an unserer dicken hardware das es keinem aufgefallen ist. auf was für einer hardware setzt ihr es denn ein das es langsam werden würde?
dann wünsche ich dir viel glück beim umsetzen
- Joined
- Nov 25, 2013
- Messages
- 7,776
Wie gesagt, such dir einen Open Source Server, der das kann und pack ihn in ein Jail ...
Folgende Quellcode-Auszug von mod_tls.c zeigt die Implementierung hierfür auf.
In meiner Umgebung komme ich aber über die server-seitige tls_log-Meldung leider noch nicht hinaus:
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: [info] ok: SSL negotiation finished successfully
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: [info] accepting: SSL negotiation finished successfully
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: client supports secure renegotiations
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: TLSv1.2 connection accepted, using cipher ECDHE-RSA-AES256-GCM-SHA384 (256 bits)
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: [msg] received protocol record message (5 bytes)
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: TLS/X509 .tlslogin check failed for user 'xyz0815'
/* Possible authentication combinations:
*
* TLS handshake + passwd (default)
* TLS handshake + .tlslogin (passwd ignored)
*/
if ((tls_flags & TLS_SESS_ON_CTRL) && (tls_opts & TLS_OPT_ALLOW_DOT_LOGIN)) {
if (tls_dotlogin_allow(cmd->argv[1])) {
tls_log("TLS/X509 .tlslogin check successful for user '%s'",
cmd->argv[0]);
pr_log_auth(PR_LOG_NOTICE, "USER %s: TLS/X509 .tlslogin authentication "
"successful", cmd->argv[1]);
session.auth_mech = "mod_tls.c";
return mod_create_data(cmd, (void *) PR_AUTH_RFC2228_OK);
} else
tls_log("TLS/X509 .tlslogin check failed for user '%s'",
cmd->argv[1]);
}
return DECLINED(cmd);
}
In meiner Umgebung komme ich aber über die server-seitige tls_log-Meldung leider noch nicht hinaus:
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: [info] ok: SSL negotiation finished successfully
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: [info] accepting: SSL negotiation finished successfully
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: client supports secure renegotiations
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: TLSv1.2 connection accepted, using cipher ECDHE-RSA-AES256-GCM-SHA384 (256 bits)
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: [msg] received protocol record message (5 bytes)
2022-07-13 11:01:52,280 mod_tls/2.7[4757]: TLS/X509 .tlslogin check failed for user 'xyz0815'
/* Possible authentication combinations:
*
* TLS handshake + passwd (default)
* TLS handshake + .tlslogin (passwd ignored)
*/
if ((tls_flags & TLS_SESS_ON_CTRL) && (tls_opts & TLS_OPT_ALLOW_DOT_LOGIN)) {
if (tls_dotlogin_allow(cmd->argv[1])) {
tls_log("TLS/X509 .tlslogin check successful for user '%s'",
cmd->argv[0]);
pr_log_auth(PR_LOG_NOTICE, "USER %s: TLS/X509 .tlslogin authentication "
"successful", cmd->argv[1]);
session.auth_mech = "mod_tls.c";
return mod_create_data(cmd, (void *) PR_AUTH_RFC2228_OK);
} else
tls_log("TLS/X509 .tlslogin check failed for user '%s'",
cmd->argv[1]);
}
return DECLINED(cmd);
}
- Joined
- Nov 25, 2013
- Messages
- 7,776
Was für einen ftpd setzt TrueNAS denn hier ein? Dessen Doku sollte doch helfen ...?
Übliche Dinge: .tlslogin gehört dem User und ist mode 600 o.ä.
Übliche Dinge: .tlslogin gehört dem User und ist mode 600 o.ä.
Related topics on forums.truenas.com for thread: "Suche nach einer Lösung für FTP over TLS mit Client-Anmeldung per Zertifikat aber ohne Eingabe eines Passwortes."
Similar threads
- Locked
