home *** CD-ROM | disk | FTP | other *** search
/ Columbia Kermit / kermit.zip / newsgroups / misc.20021006-20030409 / 000371_curtis.steward@goodrich.com_Mon Mar 10 14:06:49 EST 2003.msg < prev    next >
Text File  |  2020-01-01  |  5KB  |  162 lines
  1. Article: 14168 of comp.protocols.kermit.misc
  2. Path: newsmaster.cc.columbia.edu!panix!bloom-beacon.mit.edu!newsfeed.stanford.edu!postnews1.google.com!not-for-mail
  3. From: curtis.steward@goodrich.com (Curtis Steward)
  4. Newsgroups: comp.protocols.kermit.misc
  5. Subject: Re: TLS HowTo Telnet/FTP
  6. Date: 10 Mar 2003 10:38:24 -0800
  7. Organization: http://groups.google.com/
  8. Lines: 143
  9. Message-ID: <f53f8c5c.0303101038.198c3d24@posting.google.com>
  10. References: <f53f8c5c.0303041213.45f6bbe7@posting.google.com> <b4329a$300$1@watsol.cc.columbia.edu> <f53f8c5c.0303051052.327e975c@posting.google.com> <3E66D40A.1050402@nyc.rr.com> <f53f8c5c.0303060740.514c6150@posting.google.com> <3E67E435.1010706@nyc.rr.com>
  11. NNTP-Posting-Host: 207.180.255.121
  12. Content-Type: text/plain; charset=ISO-8859-1
  13. Content-Transfer-Encoding: 8bit
  14. X-Trace: posting.google.com 1047321504 7507 127.0.0.1 (10 Mar 2003 18:38:24 GMT)
  15. X-Complaints-To: groups-abuse@google.com
  16. NNTP-Posting-Date: 10 Mar 2003 18:38:24 GMT
  17. Xref: newsmaster.cc.columbia.edu comp.protocols.kermit.misc:14168
  18.  
  19. "Jeffrey Altman [Road Runner NYC]" <jaltman2@nyc.rr.com> wrote in message news:<3E67E435.1010706@nyc.rr.com>...
  20. > The proper command is
  22. >    IKS <host>
  24. > or
  26. >    SET HOST /CONNECT <host> kermit
  28. > You are not negotiating a TLS-TELNET connection.
  29.  
  30. Frank/Jeff,
  31.  
  32. That did it, got confused on the start-tls of iksd.conf vs.
  33. tls-telnet!  Thanks a lot, works well.
  34.  
  35. Is the doc meaning the "PUSH" compile-time option won't enable shell
  36. access, is there any other alternative?
  37.  
  38. 5.4. Shell Access
  39. �
  40. This is true even if the executable was built without the NOPUSH
  41. compile-time option.
  42.  
  43. I know "Ctrl-\! Works for the client shell, but the server side would
  44. be nice.
  45.  
  46. Thanks again for all the help.
  47.  
  48. cs
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55. HOWTO
  56.  
  57. This HowTo is nonfunctional at the time of this writing.  It attempts
  58. to create a basic "loopback test" via an OpenSSL certificate.
  59.  
  60. Localhost is client & server:    Redhat 8.0
  61. Kermit Client:            Kermit 8.0.208
  62. Kermit Server:            Kermit 8.0.208 (IKSD)
  63. Certificates:            RSA based, length 2048 (openssl genrsa)
  64.  
  65. TLS STEP-BY-STEP
  66.  
  67. download <tarball>
  68. mkdir kermit
  69. cd kermit
  70. tar ∩┐╜xvzf ../<tarball>
  71. make redhat80    
  72. cp ∩┐╜p wermit /usr/local/bin/kermit
  73. cp ∩┐╜p wermit /usr/sbin/iksd
  74.  
  75. Place certs/keys, don't have password on servers' host cert.
  76.  
  77. chown ∩┐╜R <user>:<user group~<user>/.tlslogin
  78. cp ∩┐╜p $WS_NAME.crt ~<user>/.tlslogin
  79. ls /usr/local/ca/cacert.crt
  80.  
  81. /etc/init.d/xinetd.d stop
  82. /etc/init.d/xinetd.d start
  83.  
  84. netstat ∩┐╜an | grep 1649
  85. tcp    0    0    0.0.0.0:1649    0.0.0.0:*    LISTEN
  86.  
  87.  
  88. kermit
  89.     show features
  90.     ∩┐╜
  91.     Major optional features included:
  92.         Secure Sockets Layer (SSL)
  93.         Transport Layer Security (TLS)
  94.         ∩┐╜
  95.     iks /user:anonymous /pass:user@host kermit.columbia.edu        #basic test    
  96.     set host www.amazon.com https /ssl            #should get [TLS-OK]
  97.         
  98.     set host /connect <host> 1649 
  99.  
  100. /ETC/XINETD.D/KERMIT
  101.  
  102. # default: on
  103. #        server_args     = -A --syslog:6 --database:off
  104. service kermit
  105. {
  106.     socket_type    = stream        
  107.     wait        = no
  108.     user        = root
  109.     server        = /usr/sbin/iksd
  110.             server_args     = -A 
  111.     disable        = no
  112. }
  113.  
  114. /ETC/IKSD.CONF
  115.  
  116. ;log debug /root/iksd.debug.\v(pid).log
  117.  
  118. set auth tls rsa-cert-file /root/.tlslogin/c.crt
  119. set auth tls rsa-key-file /root/.tlslogin/c.unp
  120. set auth tls verify-dir /usr/local/ca
  121. set auth tls verify-file /usr/local/ca/cacert.pem
  122.  
  123. set telopt /server start-tls required
  124. set telopt /server auth refused
  125. set telopt /server encrypt refused refused
  126. set telopt /server new-environment required
  127. set auth tls cipher-list ALL:+RSA
  128. set auth tls verify peer-cert
  129.  
  130. KERMIT CLIENT STARTUP
  131.  
  132. #!/usr/local/bin/kermit +
  133. set auth tls rsa-cert-file w.crt                       ;personal cert pem
  134. set auth tls rsa-key-file work_priv.pem                ;personal key pem
  135. set auth tls verify-dir /usr/local/ca                      ;CA directory
  136. set auth tls verify-file /usr/local/ca/cacert.pem      ;CA cert pem
  137. w/hash?
  138. set auth tls verify peer-cert
  139. set login userid <userid>
  140. set telopt start-tls required
  141.  
  142.  
  144. > > C-Kermit>set host /connect <host> 1649 /tls-telnet
  145. > >  DNS Lookup...  Trying 149.223.210.203... (OK)
  146. > > SSL_DEBUG_FLAG on
  147. > > SSL/TLS init done!
  148. > > Loading RSA certificate into SSL
  149. > > Enter certificate passphrase:
  150. > > [TLS - handshake starting]
  151. > > SSL_handshake:UNKWN  before/connect initialization
  152. > > SSL_connect:UNKWN  before/connect initialization
  153. > > SSL_connect:3WCH_A SSLv3 write client hello A
  154. > > SSL_write_alert
  155. > > SSL_connect:error in 3RSH_A SSLv3 read server hello A
  156. > > [TLS - SSL_connect error: error:1408F10B:SSL
  157. > > routines:SSL3_GET_RECORD:wrong version number
  158. > > [TLS - FAILED]
  159. > > TELNET SENT DO LOGOUT
  160. > > Can't open connection to <host>:1649
  161. > >
  162.