Improvement: 自己署名証明書を使ったLDAPSサーバーを認証に使った場合の認証処理

[Kohei-Motoya]

Environment

Host

item	version
OS	CentOS 7.6
GROWI	3.4.2
node.js	10.15.3
npm	6.4.1
Using Docker	no
Using growi-docker-compose	no

Client

item	version
OS	macOS
browser	10.14.4

How to reproduce? (再現手順)

1. 組織内ユーザーのIDが保存されたFreeIPAサーバー（CentOS7.6, FreeIPA 4.6.4）を用意する
2. 新規にCentOS 7.6をインストールしたサーバーを上記のFreeIPAに配下に登録（SSSD & 証明書登録）
3. 上記の新規サーバーにGrowi 3.4.2を新規インストールする。また、同時に、firewall, Nginxリバースプロキシ等の設定も行う。なお、この際、FreeIPAサーバーからサーバ証明書を自動取得させ、Nginxリバースプロキシで使用している。
4. Growiの管理 > セキュリティ設定 > 認証機構設定でLDAPを選び、Server URL項目に、ldapsでFreeIPAサーバーへアクセスするURLを記載し、Bindモード等を適切に設定する。
   （なお、現在は管理者Bindを使用）
5. サーバーを再起動
6. Growiのログインフォームで、FreeIPA内のユーザー情報を使ってログインを試みる。
7. 下記のエラーが発生し、"Internal Server Error"と表示される

What happens? (症状)

• Growiからldapsを使ってFreeIPAサーバーにアクセスすると、自己署名証明書関連のエラーが発生する。（実際のエラーログは下記の通り）

[2019-04-16T12:03:54.110Z] ERROR: growi:routes:login-passport/4656 on {サーバー名}:
  'ldapauth' passport authentication error:  { Error: self signed certificate in certificate chain
at TLSSocket.onConnectSecure (_tls_wrap.js:1051:34)
at TLSSocket.emit (events.js:189:13)
at TLSSocket._finishInit (_tls_wrap.js:633:8) code: 'SELF_SIGNED_CERT_IN_CHAIN' }
Error: self signed certificate in certificate chain
at TLSSocket.onConnectSecure (_tls_wrap.js:1051:34)
at TLSSocket.emit (events.js:189:13)
at TLSSocket._finishInit (_tls_wrap.js:633:8)
[2019-04-16T12:03:54.115Z] ERROR: express/4656 on {サーバー名}: ::ffff:127.0.0.1 <-- POST /login HTTP/1.1 500 148 https://{サーバー名}/login Safari 12.1 Mac OS X 10.14.4 17.355875 ms (req_id=a89bd87b-dbc3-4a5b-a32b-68a6bfc4079d)

（なお、Growi側の設定でldapsではなくldapを使用し、パスワードの暗号化を止めると、問題なく認証処理を行うことができました。ただ、サーバー同士の通信を行うVLANはクライアントネットワークとは分離しているとはいえ、生のパスワードを通信することはできれば避けたいと考えています。）

What is the expected result? (期待される動作)

• Environment Variablesなどで、ldaps用の自己署名証明書（この場合は、FreeIPAのルート証明書）を配置した場所を指定することができる。
• 上記の設定がなされている状態なら、FreeIPAサーバー等に内蔵されたLDAPサーバーにldapsでアクセスできる。

[yuki-takei]

@c0maru
どういう仕様にするか検討するところからだとは思いますが…

https://github.com/vesse/passport-ldapauth#configure-strategy
の tlsOptions から
https://nodejs.org/api/tls.html#tls_tls_connect_options_callback
を辿ると、いろいろ設定できそうではありますね。ca に string or pem file path が渡るような GROWI の環境変数を用意すればいいのかも…？

どうせなら tlsOptions 丸ごと管理者が設定できるようなスキームを用意できると尚良いかもしれません。

[benok]

イントラのADサーバーで認証ができなかったので調べたところ、
本チケットを見つけ、とりあえずパッチを作ってみました。
#1290
環境変数の方が良かったのかもしれませんが、
他のLDAP設定に合わせて一番簡単な方法で実装してみたところ、とりあえず動作しました。
たたき台のつもりですので、そのまま取り込まずとも、
良いように実装・サポートしてもらえるとうれしいです。

[yuki-takei]

@benok PRありがとうございます！見てみます。

[yuki-takei]

@benok PR見てみました。全貌を一旦は把握できたのですが、「管理画面からパスを指定できる」だけだと実態(ファイル)の準備は管理者が ssh 等叩かないとできないので、やはりリリースする機能としてやや不親切で、どうしようかなあとという感じです。

着地点として、以下3つできる状態までいってから master にマージできるといいなあと思っています。

1. サーバー上ファイルパスを管理画面から指定可能
2. 上記を環境変数で設定・上書き可能
3. tmp 下にファイルアップロードした後、1の設定が自動で入る

このうち、1はいただいたコードで満たしていて、2はこちらでそこそこ少ない工数で実装可能なのですが、残る3を @benok さんの方で実装することって可能でしょうか？
無理のない範囲でコミットいただけると助かります。ご検討いただければ幸いです。

よろしくお願いいたします。

[benok]

すみません。他のdocker関連でもファイルを配置して使うことに慣れているせいか、
sshなどでのファイル配置に不自由を感じておらず、正しく認証できれば十分だと考えているため、
申し訳ありませんが、個人的にはアップロードするGUIに興味はありません。

(下記は、同様のパッチをjiraに実装(crowdから移植)したコミットで、
指定のフォルダ以下に配置したcertファイルをjavaのkeytoolでインポートする仕様ですが、
個人的には十分だと思います。
benok/jira@941d889)

とりあえず、私のPRが最新のmasterで動作することは簡単に確認してありますが、
上のコメントに書いた通り、そのまま取り込んでいただかなくてもかまいませんので、
開発ブランチに取り込んでいただくなり、アップロードGUIを追加していただくなり、
weseekさんの良いようにお使いいただけたらと思います🙂

[TomokiMuto]

自分もこちらのケースにぶちあたってこのディスカッションに辿り着いたのですが、
受け入れる証明書を環境変数でnodeに渡してやれば回避できるようです。

services:
  app:
    environment:
      - NODE_EXTRA_CA_CERTS=/opt/growi/ldap_ca.pem   # ADD Cert File Path
    volumes:
      - ./ldap_ca.pem:/opt/growi/ldap_ca.pem  # Bind Local Cert File

私の場合はこれで十分ですが、もしUIに組み込むなら、ファイルを渡すよりもpemの内容をStringで渡してDBに保存・参照がいい気がします。