proftpdのクライアント認証

締切済

質問者：noname#12984
質問日時：2005/07/03 00:00
回答数：2件

タイトル通りですが、proftpdにおいてクライアント認証ができません。
もちろんmod_tlsは組み込んでありますし、クライアントに証明書を発行してあります。以下設定ですが、

<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

# Are clients required to use FTP over TLS when talking to this server?
TLSRequired on

# Server's certificate
TLSRSACertificateFile /usr/local/certs/server.crt
TLSRSACertificateKeyFile /usr/local/certs/server.key

# Authenticate clients that want to use FTP over TLS?
TLSVerifyClient off
</IfModule>

この状態だと接続はできますが、当然クライアント認証かかっていませんよね。TLSVerifyClientをonにすると突然ログインできなくなってしますのです。

ぜひとも助けてください。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (2件)

最新から表示
回答順に表示

No.2

回答者： entree
回答日時：2005/07/04 10:29

クライアント認証をするためには認証局の証明書も設定しないとだめですよ。

TLSCACertificateFile file-path

あと、mod_tls.cではApacheで使えるディレクティブのSSLの部分をTLSに変えたもののほとんどが使えるのでApacheのマニュアルも参照してみるとよいかもしれません。

- 0
- 件

通報する

この回答へのお礼

ありがとうございます。
しかし、これを加えてみても結果は変わりませんでした。
それ以前に、これを加えてしますとTLSVerifyClient offの状態でも接続できなくなってしまいます。

他に心当たりはないでしょうか？
それとも<IfModule mod_tls.c>の外の設定がおかしいのでしょうか？

通報する

お礼日時：2005/07/04 22:45

No.1

回答者： zem
回答日時：2005/07/03 01:35

突然ログインできなくなる現象について、

ひとまずログインが「拒否されたとき」の「サーバ側のエラー出力」はどのようになっているでしょうか。
/var/log/messages あたりに何か解決に至るヒントがあるかもしれません。

　ネットで以前見た情報ではサーバとクライアントの組み合わせで上手くいかないという情報がありました。

　ちょっと検索すると、あ、ありました。

http://66.102.7.104/search?q=cache:CtHbhngLvJUJ: …

　ご参考になりますでしょうか。。

この回答への補足

失礼いたしました。お礼に書いたのはtls.logですね。
messageはこのように表示されます。

Jul 3 18:00:43 *** proftpd[3325]: mizushima.ne.jp - 192.168.1.12:21 masquerading as 192.168.1.12
Jul 3 18:00:43 *** proftpd[3325]: mizushima.ne.jp (192.168.1.11[192.168.1.11]) - FTP session opened.
Jul 3 18:00:43 *** PAM_pwdb[3325]: (ftp) session opened for user ユーザー名 by (uid=0)

そして失敗時は
Jul 3 18:00:43 *** PAM_pwdb[3325]: (ftp) session opened for user ユーザー名 by (uid=0)
これがないだけです。

よろしくお願いします。

補足日時：2005/07/03 18:06

通報する

- 0
- 件

通報する

この回答へのお礼

パソコンおやじさんのサイトですね。
ここを参考にサーバーを組みたてているのでよく存じおります。

ログですね、たしかにここをチェックすべきでした。
成功ログ　TLSVerifyClient off
Jul 03 17:38:18 mod_tls/2.0.5[29251]: using default OpenSSL verification locations (see $SSL_CERT_DIR)
Jul 03 17:38:18 mod_tls/2.0.5[29251]: SSL/TLS-P requested, starting TLS handshake
Jul 03 17:38:18 mod_tls/2.0.5[29251]: TLSv1/SSLv3 connection accepted, using cipher DHE-RSA-AES256-SHA (256 bits)
Jul 03 17:38:19 mod_tls/2.0.5[29251]: Protection set to Private
Jul 03 17:38:19 mod_tls/2.0.5[29251]: starting TLS negotiation on data connection
Jul 03 17:38:19 mod_tls/2.0.5[29251]: TLSv1/SSLv3 data connection accepted, using cipher DHE-RSA-AES256-SHA (256 bits)

失敗ログ　TLSVerifyClient on
Jul 03 17:39:22 mod_tls/2.0.5[29289]: using default OpenSSL verification locations (see $SSL_CERT_DIR)
Jul 03 17:39:22 mod_tls/2.0.5[29289]: SSL/TLS-P requested, starting TLS handshake
Jul 03 17:39:23 mod_tls/2.0.5[29289]: unable to accept SSL connection: error:00000001:lib(0):func(0):reason(1)
Jul 03 17:39:23 mod_tls/2.0.5[29289]: SSL/TLS-P negotiation failed on control channel

です。いかがでしょうか。。。？