Comments (2)
Ciao,
la negoziazione SSL stabilisce una vera e propria sessione dell'utente, gestita dal browser e da Apache che nel tuo caso è il terminatore SSL. Non conosco Apache, ma dovrebbe esserci una opzione che obbliga a rinegoziare SSL ad ogni request - se questo risolve il problema, allora è sicuramente la sessione SSL. Certo, rinegoziare a ogni richiesta aumenta il traffico e potrebbe comportare effetti indesiderati per l'utente (tipo la necessità di reinserire il PIN più volte).
Purtroppo non credo che ci sia una soluzione definitiva - la negoziazione SSL è gestita a un livello più basso di Keycloak.
La cosa più semplice potrebbe essere regolare la durata della sessione SSL a qualcosa di ragionevole, tipo 15/30 minuti, per limitare i danni, oppure come giustamente dici una volta completato il logout mostrare un messaggio in cui si chiede all'utente di chiudere il browser ... ma sono comunque palliativi.
Se sei su piattaforma Windows, potresti anche provare a tracciare la connessione con Fiddler (https://www.telerik.com/fiddler) e vedere se effettivamente i certificati vengono trasmessi dal browser o solo cachati da Apache, ma siccome siamo in https agirà da proxy MITM e non è detto che il test sia significativo.
Fammi sapere cosa salta fuori!
from keycloak-cns-authenticator.
Ciao,
forse sono riuscito a risolvere, proprio lavorando sulla configurazione di Apache.
Sono passato da una configurazione in cui imponevo la richiesta di certificato client per tutto il VirtualHost dedicato al proxy verso Keycloak, ad una configurazione leggermente diversa dove la richiesta del certificato client è limitata ad un URL path specifico di tale VirtualHost, corrispondente all'URL path esposto da Keycloak per lo scambio dei messaggi SAML.
Cioè sono passato da una cosa del tipo
<VirtualHost *:443>
ServerName server.domain.com
SSLEngine On
SSLCertificateFile ...
SSLCertificateKeyFile ...
SSLCACertificateFile ...
SSLOptions +ExportCertData +StdEnvVars
SSLProtocol -all +TLSv1.2
SSLVerifyClient optional
ProxyPass / ajp://localhost:8009/
ProxyPassReverse / ajp://localhost:8009/
</VirtualHost>
ad una tipo
<VirtualHost *:443>
ServerName server.domain.com
SSLEngine On
SSLCertificateFile ...
SSLCertificateKeyFile ...
SSLCACertificateFile ...
SSLProtocol -all +TLSv1.2
ProxyPass / ajp://localhost:8009/
ProxyPassReverse / ajp://localhost:8009/
<Location /auth/realms/cns/protocol/saml>
SSLVerifyClient optional
SSLOptions +StdEnvVars +ExportCertData
</Location>
</VirtualHost>
Non saprei spiegare perché Apache si comporta diversamente nei due casi, ma di fatto usando la seconda versione, il certificato della CNS non viene più propagato a Keycloak a seguito dell'estrazione della smart-card dal lettore, che è l'effetto che stavo cercando.
from keycloak-cns-authenticator.
Related Issues (4)
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from keycloak-cns-authenticator.