Re: Bacula y la comunicación TLS

To: debian-user-spanish@lists.debian.org
Subject: Re: Bacula y la comunicación TLS
From: Roberto Leon Lopez <i32lelor.debian@gmail.com>
Date: Wed, 24 Jan 2024 16:43:09 +0100
Message-id: <[🔎] CALzPpQqkYkK5F01v05eJVdLHS=VEp7L=9jW+5DvsY-yqE_gGqA@mail.gmail.com>
In-reply-to: <[🔎] Za1PYzsTRx0NLwSs@stt008.linux.site>
References: <[🔎] 00027fc1-caf1-4e97-914a-564bf30bcdf7@gmail.com> <[🔎] Za1PYzsTRx0NLwSs@stt008.linux.site>

El dom, 21 ene 2024 a las 21:13, Camaleón (<noelamac@gmail.com>) escribió:
>
> El 2024-01-21 a las 13:58 +0100, RLL escribió:
>
> > Me está resultando dificil hacer uso de las comunicaciones cifradas en
> > Bacula.
> >
> > Estoy reutilizando easy-rsa de OpenVPN para generar certificados de servidor
> > para un servidor web Apache sin problemas, y lo mismo quiero hacer para los
> > clientes de Bacula donde por lo visto tiene que coincidir el Common Name del
> > certificado con la dirección del cliente que no con el nombre del cliente,
> > igualmente aplicado al bacula-dir.conf, bacula-sd.conf y bacula-fd.conf .
> >
> > Entonces cuando hago la conexión con bconsole tras el reinicio de los
> > servicios el log que obtengo es el siguiente:
> >
> > Destaco el mensaje de error "bacula-dir .... tls.c:94-0 Error with
> > certificate at depth: .... ERR=26:unsuitable certificate purpose" . Cuando
> > el certificado del servidor se generó con easy-rsa indicando precisamente
> > que es para un servidor.
>
> No uso Bacula, Sólo un apunte por si te resulta de interés y/o utilidad.
>
> Aunque es un hilo antiguo (2011) el error y el problema parecen
> similares, echa un vistazo a estos mensajes de los foros de Bacula:
>
> [Bacula-users] bacula and tls. Can't get that working
> https://sourceforge.net/p/bacula/mailman/bacula-users/thread/20111108190128.6beff8f8%40d830-oh/#msg28371522
>
> Saludos,
>
> --
> Camaleón
>

Solucionado.

Finalmente he podido rellenar bien los ficheros de configuración, cosa
compleja por todas las referencias necesarias. Los certificados
generados con easy-rsa como server funcionan sin hacer ningún ajuste.

El capítulo sobre TLS en el manual 9 se queda corto
https://www.bacula.org/9.6.x-manuals/en/main/Bacula_TLS_Communications_E.html
y en la versión 11 podemos ver un ejemplo completo
https://www.bacula.org/11.0.x-manuals/en/main/Bacula_TLS_Communications_E.html
que me ha aclarado todo lo que hay que rellenar.

Hay que rellenar tantas referencias de TLS como intervinientes en la
comunicación:

- De bconsole a Director.
- De Director a Storage Daemon.
- De Director a Cliente.
- De Cliente a Storage Daemon.

Añadir a los puntos de descontento con Bacula anteriores indicados en
el hilo que si tienes un cliente fuera de tu oficina vas a tener que
abrir un puerto en tu firewall porque después de que el Director le
diga al Cliente que tiene que empezar a enviar datos, es el Cliente
quien abre una conexión hacia el Storage Daemon. Esa última conexión
es una pelea con auditores para justificarles abrir un puerto en el
firewall.

Saludos y gracias.

Reply to:

References:
- Bacula y la comunicación TLS
  - From: RLL <i32lelor.debian@gmail.com>
- Re: Bacula y la comunicación TLS
  - From: Camaleón <noelamac@gmail.com>

Prev by Date: Re: Bacula y la comunicación TLS
Next by Date: Re: Paquetes fuera de Distro
Previous by thread: Re: Bacula y la comunicación TLS
Next by thread: Zaległe płatności
Index(es):
- Date
- Thread