home *** CD-ROM | disk | FTP | other *** search

---

/ Columbia Kermit / kermit.zip / newsgroups / misc.20021006-20030409 / 000289_curtis.steward@goodrich.com_Wed Feb 12 10:13:06 EST 2003.msg

< prev

next >

Wrap

Text File  |  2020-01-01  |  7KB  |  212 lines

---

1. Article: 14084 of comp.protocols.kermit.misc
2. Path: newsmaster.cc.columbia.edu!panix!newsfeed.mathworks.com!arclight.uoregon.edu!logbridge.uoregon.edu!newsfeed.stanford.edu!postnews1.google.com!not-for-mail
3. From: curtis.steward@goodrich.com (Curtis Steward)
4. Newsgroups: comp.protocols.kermit.misc
5. Subject: Re: SSL-Telnet waiting for WILL AUTHENTICATION subnegotiation
6. Date: 11 Feb 2003 15:09:34 -0800
7. Organization: http://groups.google.com/
8. Lines: 193
9. Message-ID: <f53f8c5c.0302111509.12c6ae2f@posting.google.com>
10. References: <f53f8c5c.0302101307.43a79f75@posting.google.com> <3E482A46.2010509@nyc.rr.com> <f53f8c5c.0302110921.bbf187d@posting.google.com> <3E493E29.5040800@columbia.edu>
11. NNTP-Posting-Host: 207.180.255.121
12. Content-Type: text/plain; charset=ISO-8859-1
13. Content-Transfer-Encoding: 8bit
14. X-Trace: posting.google.com 1045004975 3618 127.0.0.1 (11 Feb 2003 23:09:35 GMT)
15. X-Complaints-To: groups-abuse@google.com
16. NNTP-Posting-Date: 11 Feb 2003 23:09:35 GMT
17. Xref: newsmaster.cc.columbia.edu comp.protocols.kermit.misc:14084
18.  
19. Jeffrey Altman <jaltman@columbia.edu> wrote in message news:<3E493E29.5040800@columbia.edu>...
20. > Curtis Steward wrote:
21. > > Jeff,
22. > > 
23. > > I didn't realize that "AUTH SSL" shouldn't be used.  Thanks
24. > > for the tip, that's why I also had "start-tls refused", trying
25. > > to force SSL...
26. > > 
27. > >   I've changed from SSL to TLS.
28. > >   Added the "start-tls required".
29. > >   I've also had to resort to "--database:off" on the server, see
30. > > syslog.
31. > >   However, things still hang:
32. > > 
33. > > Negotiations..TELNET RCVD DO START-TLS
34. > > TELNET SENT SB START-TLS FOLLOWS IAC SE
35. > > TELNET RCVD DO AUTHENTICATION
36. > > TELNET RCVD DO NAWS
37. > > TELNET RCVD WILL SUPPRESS-GO-AHEAD
38. > > TELNET RCVD DO SUPPRESS-GO-AHEAD
39. > > TELNET RCVD WILL ECHO
40. > > TELNET RCVD DO NEW-ENVIRONMENT
41. > > TELNET RCVD SB START-TLS FOLLOWS  IAC SE
42. > > [TLS - handshake starting]
43. > > Loading RSA certificate into SSL
44. > > Enter pass phrase: <passphrase>
45. > > SSL_handshake:UNKWN  before/connect initialization
46. > > SSL_connect:UNKWN  before/connect initialization
47. > > SSL_connect:3WCH_A SSLv3 write client hello A
48. > > HANG...
49. > > 
50. > > syslog
51. > > Feb 10 16:37:58 cms iksd[825]: file[] /var/log/95dfd2cb.339: rename to
52. > > /var/log/iksd.lck failed (No such file or directory)
53. > 
54. > How is iksd being started?
55. > 
56.  
57. I'm using xinetd:
58.  
59. # default: on
60. #        server_args     = -A --syslog:6 --database:off
61. service kermit
62. {
63.     socket_type    = stream        
64.     wait        = no
65.     user        = root
66.     server        = /usr/sbin/iksd
67.         server_args     = -A 
68.     disable        = no
69. }
70.  
71. FYI, I am doing client/server testing on the same host, from what
72. I figure "iks localhost" should be cool?
73.  
74. > > 
75. > > script
76. > > #!/usr/local/bin/kermit +
77. > > set debug on
78. > > set debug session
79. > > set auth tls debug on
80. > > set auth tls rsa-cert-file w.pem                   ;personal cert pem
81. > > set auth tls rsa-key-file work_priv.pem            ;personal key pem
82. > > set auth tls verbose on
83. > > set auth tls verify-dir /usr/local/ca              ;CA directory
84. > > set auth tls verify-file /usr/local/ca/cacert.pem  ;CA cert pem w/hash
85. > > set login userid <userid>
86. > > set telopt start-tls required
87. > 
88. > The file /usr/local/ca/cacert.pem must contain the CA certificate used 
89. > to sign the IKSD host certificate
90.  
91. Yep
92.  
93. > 
94. > 
95. > > iksd.conf
96. > > set auth tls rsa-cert-file /root/HomeWIP/pki/c.pem  #points to host
97. > > cert?
98. > > set auth tls rsa-key-file /root/HomeWIP/pki/cms.jms.lucascargo.com.pem
99. > >  #points to host key?
100. > 
101. > These are the server's certificate and key in PEM format.
102.  
103. Yep again
104.  
105. > 
106. > > set auth tls verify-dir /usr/local/ca
107. > > set auth tls verify-file /usr/local/ca/cacert.pem
108. > 
109. > These are only necessary if you are attempting to verify client 
110. > certificates.
111.  
112. Would this be the personal and/or client host certificates?
113. >From  what I understand the following would give me client(personal
114. user) authentication:
115.  
116.                        kermit client      kermit server
117. personal user cert     rsa-cert-file      ~/.tlslogin
118. client host cert       N/A                N/A
119. server host cert       N/A                rsa-cert-file
120. CA cert                verify-file        N/A
121.  
122. I'm just after user authentication, client host could come later.
123.  
124. > 
125. > > Is the host settings for the iksd.conf's rsa's suppose to be the host
126. > > client?  And is the CA key the only key that needs hashed?  
127. >  
128. > > Thanks
129. > > 
130. > > cs
131. > 
132. > To debug IKSD include a
133. > 
134. >    LOG DEBUG /root/iksd.debug.\v(pid).log
135. > 
136. > command in your iksd.conf file.  If you are not getting a response to 
137. > the "client hello A" it is most likely a problem related to firewall's 
138. > blocking the negotiation OR perhaps a file system access problem on the 
139. > host.
140.  
141. ...
142.  
143. dbinit dbfile 1[(NULL)]
144. dbinit dbdir 2[/var/log/]
145. dbinit dbfile 2[/var/log/iksd.db]
146. dbinit mypid=1255
147. getlocalipaddr setting buf to[149.223.210.203]
148. dbinit myip[95dfd2cb]=-1780493621
149. ckgetpeer[cms.jms.lucascargo.com]=-1780493621
150. dbinit peerip[95dfd2cb]=-1780493621
151. dbinit peerip[95dfd2cb]=-1780493621
152. dbinit dbenabled=1
153. getslot idstring[95dfd2cb:0000001255
154. ]
155. getslot tempfile[/var/log/95dfd2cb.4e7]
156. getslot lockfile[/var/log/iksd.lck]
157. zrename old[/var/log/95dfd2cb.4e7]
158. zrename new[/var/log/iksd.lck]
159. zrename setroot[]=0
160. isdir stat[/var/log/iksd.lck]=-1
161. isdir errno=2
162. zrename no dir[/var/log/iksd.lck]
163. zrename rename()[/var/log/95dfd2cb.4e7]=0
164. zfnqfp fname[/var/log/95dfd2cb.4e7]=4096
165. zfnqfp realpath fails[/var/log/95dfd2cb.4e7]=2
166. zfnqfp while *s[/var/log/95dfd2cb.4e7]
167. zfnqfp len=21
168. isdir stat[/var/log/95dfd2cb.4e7]=-1
169. isdir errno=2
170. zfnqfp path[/var/log/95dfd2cb.4e7]=21
171. zfnqfp name[95dfd2cb.4e7]
172. zfnqfp fname[/var/log/iksd.lck]=4096
173. isdir stat[/var/log/iksd.lck]=0
174. isdir islink=0
175. isdir statbuf.st_mode=33152
176. zfnqfp realpath path[/var/log/iksd.lck]
177. zfnqfp realpath name[iksd.lck]
178. getslot has lock[/var/log/iksd.lck]
179. getslot dbfile[/var/log/iksd.db]
180. zchki setroot[]=0
181. STAT=5
182. zchki stat ok:[/var/log/iksd.db]=0
183. zchki access ok:[/var/log/iksd.db]=4096
184. getslot record=0
185. getslot dbflags:0x00
186. getslot dbpid:0x04a2
187. getslot dbip:0x95dfd2cb
188. getslot free slot=0
189. getslot records=1
190.  
191. ...
192.  
193. And from syslog...
194.  
195. Feb 11 14:13:51 cms iksd[1255]: file[4] /root/iksd.debug.1255.log:
196. create ok
197. Feb 11 14:13:51 cms iksd[1255]: file[] /var/log/95dfd2cb.4e7: rename
198. to /var/log/iksd.lck failed (No such file or directory)
199.  
200. FYI, I tried again after doing a "mkdir /var/log/iksd.lck":
201.  
202. [root@cms pki]# ls /var/log/iksd.lck
203. 95dfd2cb.45f
204.  
205. syslog...
206.  
207. Feb 11 13:47:20 cms iksd[1119]: file[] /var/log/95dfd2cb.45f: rename
208. to /var/log/iksd.lck/95dfd2cb.45f failed (No such file or directory)
209.  
210. Couldn't find an example or case outside of stunnel, if I get this one
211. working, I'm writing it up :).
212.