使用 .start_tls_s() 时如何强制 Python LDAP 到 validate/verify SSL 证书
How do I force Python LDAP to validate/verify an SSL certificate when using .start_tls_s()
我一直在尝试在 MacOS X 10.9.5 和 Python 2.7.9
下使用 Python-LDAP(版本 2.4.19)
我想在调用 .start_tls_s()
之后验证我与给定 LDAP 服务器的连接(或者如果无法验证证书,则让方法引发和异常)。 (我也想检查 CRL,但那是另一回事)。
这是我的代码:
#!python
#!/usr/bin/env python
import ConfigParser, os, sys
import ldap
CACERTFILE='./ca_ldap.bad'
## CACERTFILE='./ca_ldap.crt'
config = ConfigParser.ConfigParser()
config.read(os.path.expanduser('~/.ssh/creds.ini'))
uid = config.get('LDAP', 'uid')
pwd = config.get('LDAP', 'pwd')
svr = config.get('LDAP', 'svr')
bdn = config.get('LDAP', 'bdn')
ld = ldap.initialize(svr)
ld.protocol_version=ldap.VERSION3
ld.set_option(ldap.OPT_DEBUG_LEVEL, 255 )
ld.set_option(ldap.OPT_PROTOCOL_VERSION, 3)
ld.set_option(ldap.OPT_X_TLS_CACERTFILE, CACERTFILE)
ld.set_option(ldap.OPT_X_TLS_DEMAND, True )
ld.set_option(ldap.OPT_X_TLS_REQUIRE_CERT, ldap.OPT_X_TLS_HARD)
## From:
## and : http://python-ldap.cvs.sourceforge.net/viewvc/python-ldap/python-ldap/Demo/initialize.py?revision=1.14&view=markup
ld.start_tls_s()
for each in dir(ldap):
if 'OPT_X_TLS' in each:
try:
print '\t*** %s: %s' % (each, ld.get_option((getattr(ldap, each))))
except Exception, e:
print >> sys.stderr, '... Except %s: %s\n' % (each, e)
ld.simple_bind_s(uid, pwd)
results = ld.search_s(bdn, ldap.SCOPE_SUBTREE)
print 'Found %s entries under %s' % (len(results), bdn)
sys.exit()
如评论中所述,我从 and from http://python-ldap.cvs.sourceforge.net/viewvc/python-ldap/python-ldap/Demo/initialize.py?revision=1.14&view=markup 中复制了大部分内容……尽管我尝试了很多变体和顺序。
如图所示,我有两个文件代表一个 错误的 证书和一个应该有效的文件(它实际上取自我们的一个配置为 运行 sssd(系统安全服务守护进程)被认为正确地检查了这一点。
在 "bad" 副本中,我只是将每个密钥行的第一个字符替换为字母 'x',假设这会破坏 CA 密钥并导致任何代码尝试验证签名链失败。
但是,Python LDAP 代码似乎忽略了这一点;即使我将其设置为 /dev/null
或完全伪造的路径,我的代码仍然 运行s,仍然绑定到 LDAP 服务器并且仍然完成我的搜索请求。
所以问题是,我如何按预期将其设置为 "fail"(或者,更广泛地说,我如何防止我的代码容易受到 MITM (Mallory) 攻击?
如果它对本次讨论有任何影响,这里是我的 OpenSSL 版本:
$ openssl version
OpenSSL 0.9.8za 5 Jun 2014
LDAP 服务器是 运行ning OpenLDAP,但我不知道有关其版本和配置的任何详细信息。
这是我的代码的示例输出:
*** OPT_X_TLS: 0
*** OPT_X_TLS_ALLOW: 0
*** OPT_X_TLS_CACERTDIR: None
*** OPT_X_TLS_CACERTFILE: /bogus/null
*** OPT_X_TLS_CERTFILE: None
*** OPT_X_TLS_CIPHER_SUITE: None
*** OPT_X_TLS_CRLCHECK: 0
*** OPT_X_TLS_CRLFILE: None
*** OPT_X_TLS_CRL_ALL: 1
*** OPT_X_TLS_CRL_NONE: {'info_version': 1, 'extensions': ('X_OPENLDAP', 'THREAD_SAFE', 'SESSION_THREAD_SAFE', 'OPERATION_THREAD_SAFE', 'X_OPENLDAP_THREAD_SAFE'), 'vendor_version': 20428, 'protocol_version': 3, 'vendor_name': 'OpenLDAP', 'api_version': 3001}
*** OPT_X_TLS_CRL_PEER: 3
... Except OPT_X_TLS_CTX: unknown option 24577
*** OPT_X_TLS_DEMAND: 1
*** OPT_X_TLS_DHFILE: None
*** OPT_X_TLS_HARD: 3
*** OPT_X_TLS_KEYFILE: None
*** OPT_X_TLS_NEVER: {'info_version': 1, 'extensions': ('X_OPENLDAP', 'THREAD_SAFE', 'SESSION_THREAD_SAFE', 'OPERATION_THREAD_SAFE', 'X_OPENLDAP_THREAD_SAFE'), 'vendor_version': 20428, 'protocol_version': 3, 'vendor_name': 'OpenLDAP', 'api_version': 3001}
... Except OPT_X_TLS_NEWCTX: unknown option 24591
*** OPT_X_TLS_PACKAGE: OpenSSL
*** OPT_X_TLS_PROTOCOL_MIN: 0
*** OPT_X_TLS_RANDOM_FILE: None
*** OPT_X_TLS_REQUIRE_CERT: 1
*** OPT_X_TLS_TRY: 0
Found 883 entries under [... redacted ...]
你的代码按预期工作。实际上,当我第一次执行您的代码时,我遇到了完全相反的问题。它总是 说'certificate verify failed'。添加以下行修复此问题:
# Force libldap to create a new SSL context (must be last TLS option!)
ld.set_option(ldap.OPT_X_TLS_NEWCTX, 0)
现在,当我使用错误的 CA 证书或按照您的描述修改过的证书时,结果是此错误消息:
Traceback (most recent call last):
File "ldap_ssl.py", line 28, in <module>
ld.start_tls_s()
File "/Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/ldap/ldapobject.py", line 571, in start_tls_s
return self._ldap_call(self._l.start_tls_s)
File "/Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/ldap/ldapobject.py", line 106, in _ldap_call
result = func(*args,**kwargs)
ldap.CONNECT_ERROR: {'info': 'error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate)', 'desc': 'Connect error'}
当我使用正确的 CA 证书时,输出与您的一样。
现在有趣的问题是:我们的设置之间有什么不同,尤其是哪种不同会导致您的机器出现这种奇怪的行为?
我的设置是:
- Mac OS X 10.10
- Python 2.7.6
- python-ldap 2.4.19(手动安装)
- OpenLDAP 2.4.39(通过 Homebrew)
- OpenSSL 1.0.1l(通过 Homebrew)
我有一个本地 OpenLDAP 运行,安装了 Homebrew:
brew install homebrew/dupes/openldap --with-berkeley-db
在 Yosemite python-ldap 使用 pip 安装时有很多错误(请参阅 Python-ldap set_option not working on Yosemite),因此我不得不下载 tarball 和 compile/install,幸运的是很简单,因为我已经安装了当前 libs/headers:
的 OpenLDAP
首先像这样编辑 setup.cfg 中的 [_ldap] 部分:
[_ldap]
library_dirs = /usr/local/opt/openldap/lib /usr/lib /usr/local/lib
include_dirs = /usr/local/opt/openldap/include /usr/include/sasl /usr/include /usr/local/include
extra_compile_args = -g -arch x86_64
extra_objects =
libs = ldap_r lber sasl2 ssl crypto
部分header文件在Mac OS SDK中,link目录(根据你的版本更改路径)到/usr/include:
sudo ln -s /Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/MacOSX10.10.sdk/usr/include/ /usr/include
然后构建并安装:
python setup.py build
sudo python setup.py install
otool 的输出显示 python-ldap 现在 linked 到 OpenLDAP 2.4.39 和 OpenSSL 0.9.8 的库:
$ otool -L /Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/_ldap.so
/Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/_ldap.so:
/usr/local/lib/libldap_r-2.4.2.dylib (compatibility version 13.0.0, current version 13.2.0)
/usr/local/lib/liblber-2.4.2.dylib (compatibility version 13.0.0, current version 13.2.0)
/usr/lib/libsasl2.2.dylib (compatibility version 3.0.0, current version 3.15.0)
/usr/lib/libssl.0.9.8.dylib (compatibility version 0.9.8, current version 0.9.8)
/usr/lib/libcrypto.0.9.8.dylib (compatibility version 0.9.8, current version 0.9.8)
/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1213.0.0)
另一种构建 python-ldap 的方法是仅安装构建所需的 OpenLDAP 库和 headers:http://projects.skurfer.com/posts/2011/python_ldap_lion/
所有这些步骤在 Mavericks 下也应该有效,我假设使用最新的 OpenLDAP 和 OpenSSL 库将解决您的问题。
我一直在尝试在 MacOS X 10.9.5 和 Python 2.7.9
下使用 Python-LDAP(版本 2.4.19)我想在调用 .start_tls_s()
之后验证我与给定 LDAP 服务器的连接(或者如果无法验证证书,则让方法引发和异常)。 (我也想检查 CRL,但那是另一回事)。
这是我的代码:
#!python
#!/usr/bin/env python
import ConfigParser, os, sys
import ldap
CACERTFILE='./ca_ldap.bad'
## CACERTFILE='./ca_ldap.crt'
config = ConfigParser.ConfigParser()
config.read(os.path.expanduser('~/.ssh/creds.ini'))
uid = config.get('LDAP', 'uid')
pwd = config.get('LDAP', 'pwd')
svr = config.get('LDAP', 'svr')
bdn = config.get('LDAP', 'bdn')
ld = ldap.initialize(svr)
ld.protocol_version=ldap.VERSION3
ld.set_option(ldap.OPT_DEBUG_LEVEL, 255 )
ld.set_option(ldap.OPT_PROTOCOL_VERSION, 3)
ld.set_option(ldap.OPT_X_TLS_CACERTFILE, CACERTFILE)
ld.set_option(ldap.OPT_X_TLS_DEMAND, True )
ld.set_option(ldap.OPT_X_TLS_REQUIRE_CERT, ldap.OPT_X_TLS_HARD)
## From:
## and : http://python-ldap.cvs.sourceforge.net/viewvc/python-ldap/python-ldap/Demo/initialize.py?revision=1.14&view=markup
ld.start_tls_s()
for each in dir(ldap):
if 'OPT_X_TLS' in each:
try:
print '\t*** %s: %s' % (each, ld.get_option((getattr(ldap, each))))
except Exception, e:
print >> sys.stderr, '... Except %s: %s\n' % (each, e)
ld.simple_bind_s(uid, pwd)
results = ld.search_s(bdn, ldap.SCOPE_SUBTREE)
print 'Found %s entries under %s' % (len(results), bdn)
sys.exit()
如评论中所述,我从 and from http://python-ldap.cvs.sourceforge.net/viewvc/python-ldap/python-ldap/Demo/initialize.py?revision=1.14&view=markup 中复制了大部分内容……尽管我尝试了很多变体和顺序。
如图所示,我有两个文件代表一个 错误的 证书和一个应该有效的文件(它实际上取自我们的一个配置为 运行 sssd(系统安全服务守护进程)被认为正确地检查了这一点。
在 "bad" 副本中,我只是将每个密钥行的第一个字符替换为字母 'x',假设这会破坏 CA 密钥并导致任何代码尝试验证签名链失败。
但是,Python LDAP 代码似乎忽略了这一点;即使我将其设置为 /dev/null
或完全伪造的路径,我的代码仍然 运行s,仍然绑定到 LDAP 服务器并且仍然完成我的搜索请求。
所以问题是,我如何按预期将其设置为 "fail"(或者,更广泛地说,我如何防止我的代码容易受到 MITM (Mallory) 攻击?
如果它对本次讨论有任何影响,这里是我的 OpenSSL 版本:
$ openssl version
OpenSSL 0.9.8za 5 Jun 2014
LDAP 服务器是 运行ning OpenLDAP,但我不知道有关其版本和配置的任何详细信息。
这是我的代码的示例输出:
*** OPT_X_TLS: 0
*** OPT_X_TLS_ALLOW: 0
*** OPT_X_TLS_CACERTDIR: None
*** OPT_X_TLS_CACERTFILE: /bogus/null
*** OPT_X_TLS_CERTFILE: None
*** OPT_X_TLS_CIPHER_SUITE: None
*** OPT_X_TLS_CRLCHECK: 0
*** OPT_X_TLS_CRLFILE: None
*** OPT_X_TLS_CRL_ALL: 1
*** OPT_X_TLS_CRL_NONE: {'info_version': 1, 'extensions': ('X_OPENLDAP', 'THREAD_SAFE', 'SESSION_THREAD_SAFE', 'OPERATION_THREAD_SAFE', 'X_OPENLDAP_THREAD_SAFE'), 'vendor_version': 20428, 'protocol_version': 3, 'vendor_name': 'OpenLDAP', 'api_version': 3001}
*** OPT_X_TLS_CRL_PEER: 3
... Except OPT_X_TLS_CTX: unknown option 24577
*** OPT_X_TLS_DEMAND: 1
*** OPT_X_TLS_DHFILE: None
*** OPT_X_TLS_HARD: 3
*** OPT_X_TLS_KEYFILE: None
*** OPT_X_TLS_NEVER: {'info_version': 1, 'extensions': ('X_OPENLDAP', 'THREAD_SAFE', 'SESSION_THREAD_SAFE', 'OPERATION_THREAD_SAFE', 'X_OPENLDAP_THREAD_SAFE'), 'vendor_version': 20428, 'protocol_version': 3, 'vendor_name': 'OpenLDAP', 'api_version': 3001}
... Except OPT_X_TLS_NEWCTX: unknown option 24591
*** OPT_X_TLS_PACKAGE: OpenSSL
*** OPT_X_TLS_PROTOCOL_MIN: 0
*** OPT_X_TLS_RANDOM_FILE: None
*** OPT_X_TLS_REQUIRE_CERT: 1
*** OPT_X_TLS_TRY: 0
Found 883 entries under [... redacted ...]
你的代码按预期工作。实际上,当我第一次执行您的代码时,我遇到了完全相反的问题。它总是 说'certificate verify failed'。添加以下行修复此问题:
# Force libldap to create a new SSL context (must be last TLS option!)
ld.set_option(ldap.OPT_X_TLS_NEWCTX, 0)
现在,当我使用错误的 CA 证书或按照您的描述修改过的证书时,结果是此错误消息:
Traceback (most recent call last):
File "ldap_ssl.py", line 28, in <module>
ld.start_tls_s()
File "/Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/ldap/ldapobject.py", line 571, in start_tls_s
return self._ldap_call(self._l.start_tls_s)
File "/Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/ldap/ldapobject.py", line 106, in _ldap_call
result = func(*args,**kwargs)
ldap.CONNECT_ERROR: {'info': 'error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate)', 'desc': 'Connect error'}
当我使用正确的 CA 证书时,输出与您的一样。
现在有趣的问题是:我们的设置之间有什么不同,尤其是哪种不同会导致您的机器出现这种奇怪的行为?
我的设置是:
- Mac OS X 10.10
- Python 2.7.6
- python-ldap 2.4.19(手动安装)
- OpenLDAP 2.4.39(通过 Homebrew)
- OpenSSL 1.0.1l(通过 Homebrew)
我有一个本地 OpenLDAP 运行,安装了 Homebrew:
brew install homebrew/dupes/openldap --with-berkeley-db
在 Yosemite python-ldap 使用 pip 安装时有很多错误(请参阅 Python-ldap set_option not working on Yosemite),因此我不得不下载 tarball 和 compile/install,幸运的是很简单,因为我已经安装了当前 libs/headers:
的 OpenLDAP首先像这样编辑 setup.cfg 中的 [_ldap] 部分:
[_ldap]
library_dirs = /usr/local/opt/openldap/lib /usr/lib /usr/local/lib
include_dirs = /usr/local/opt/openldap/include /usr/include/sasl /usr/include /usr/local/include
extra_compile_args = -g -arch x86_64
extra_objects =
libs = ldap_r lber sasl2 ssl crypto
部分header文件在Mac OS SDK中,link目录(根据你的版本更改路径)到/usr/include:
sudo ln -s /Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/MacOSX10.10.sdk/usr/include/ /usr/include
然后构建并安装:
python setup.py build
sudo python setup.py install
otool 的输出显示 python-ldap 现在 linked 到 OpenLDAP 2.4.39 和 OpenSSL 0.9.8 的库:
$ otool -L /Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/_ldap.so
/Library/Python/2.7/site-packages/python_ldap-2.4.19-py2.7-macosx-10.10-intel.egg/_ldap.so:
/usr/local/lib/libldap_r-2.4.2.dylib (compatibility version 13.0.0, current version 13.2.0)
/usr/local/lib/liblber-2.4.2.dylib (compatibility version 13.0.0, current version 13.2.0)
/usr/lib/libsasl2.2.dylib (compatibility version 3.0.0, current version 3.15.0)
/usr/lib/libssl.0.9.8.dylib (compatibility version 0.9.8, current version 0.9.8)
/usr/lib/libcrypto.0.9.8.dylib (compatibility version 0.9.8, current version 0.9.8)
/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1213.0.0)
另一种构建 python-ldap 的方法是仅安装构建所需的 OpenLDAP 库和 headers:http://projects.skurfer.com/posts/2011/python_ldap_lion/
所有这些步骤在 Mavericks 下也应该有效,我假设使用最新的 OpenLDAP 和 OpenSSL 库将解决您的问题。