[iceincube]

Tere,

oleks vaja ID kaardiga autentimise võimalust lubada PHP veebis- kuigi see pigem apache https/apache2 keiss (ehk vaja saada nime/isikukoodi info kuidagi)

Kuna pole ammu sellega tegelenud siis tahtsin uurida kuidas see käib. Kui kiirelt vaadelda siis muud infot internetis polegi kui see mis ametlikul ID kaardi veebis üleval. Sealt tõmbasin alla ka mingi demo failid. Seal on mingisugne sertifikaadi check vms ( OCSP ). Hetkel kohe ei hooma mis värk on. Kas see annab vastuseks mulle siis kasutaja nime ja isikukoodi või siiski lihtsalt kontrollib serti? Mulle tundub, et viimast.

http://www.id.ee/index.php?id=30271
http://id.ee/index.php?id=36284

Kontrollib kohe $_SERVER["SSL_CLIENT_CERT"] olemasolu- saan aru, et see tekib sinna ID kaardiga audentides? PHP ei tegelenud iseenesest audentimisegs vaid seda force'is veebiserver kui õigesti mäletan.


Loen näiteks veel lisaks asju nagu:
- https://code.google.com/p/esteid/wiki/VeebisAutentimine#Levinumatele_veebiserverite_seadistamine
- https://code.google.com/p/esteid/wiki/AuthConfApache


Aga need räägivad nagu apache seadistamisest üldse jne. Serveri teemast. Kuidas see muutuja PHP'sse saab vms?

Kuna endal mingit secure serverit hetkel pole siis kas ma saan localhostis virtual serveri luua apache alla nii, et saaksin ID kaardiga autentimist testida oma arvutis?
Kasutusel Linux (kubuntu), Apache2 ja PHP5

Oskab keegi ehk aidata mind selles teemas?

[Fukiku]

Kas sa proovinud oled nende juhiste järgi talitada? Pole küll ise ID-kaardindusega tegelenud, küll aga sai hiljuti siin isegenereeritud sertidega autenditav teenus käima aetud ja natuke üldteooriasse süvenetud sellega seoses. Ja niisama targutada on ka hea.

Ühesõnaga, korrektselt seadistatud Apache korral peaks Apache need vajalikud muutujad PHP keskkonda ise tekitama. Sealsamas Google keskkonnas olevas Apache konfis on üks rida, mis ütleb " # Make SSL session data available to scripts", st ka PHP-le.

Mis puutub OCSP-sse ja serdindusse. Nimi ja isikukood peaks olema ID-kaardi serdis kohapeal olemas ja nende jaoks ei pea minema kuhugi teenuse otsa midagi küsima. OCSP on selleks, et kontrollida kas sert kehtib ja seda pole enneaegselt tühistatud (nt inimene kaotab ID-kaardi ja laseb selle "kinni panna"). Aga lisanüanss on siin selles, et ID-kaardi OCSP on vist tasuline teenus, kui ma ei eksi. Alternatiiviks, mida vist saab tasuta, on CRL-ide kasutamine e. kehtetuks tunnistatud sertide nimekiri offline's. Seda tuleb siis regulaarselt uuendada ja põhimõtteliselt on seal viimasest uuendamisest kuni autentimise hetkeni võimalik kehtetuid ID-kaarte kasutada.

[madisxxx]

[iceincube]

Tänud vastuste eest- seega olen õigel teel.

Aga mismoodi see käib- mis hetkel küsitakse nn ID kaardiga autoriseerimist (tuleb see pin1 aken)
Tookord tegime vist mingisuguse alamkausta kuhu pidin suunama kasutaja (seal küsis) ja tagasi tulles oligi juba olemas see _SERVER muutujas.

Et igahetk kui veebis olen ei küsi ta ju. Konkreetse URL'i peal küsib (htaccess'is siis ilmselt alamkaustas peale keeratud)

Mis nimega need key'd on mis tekivad peale korrektset (url) külastust sinna $_SERVER muutujasse?

[Fukiku]

DISCLAIMER: ma jätkuvalt peamiselt spekuleerin ja loen ise võrgust infot. Päris elus ma ID autendi realiseerinud pole

[incx]

NB! Alljärgneb "käib kah" localhostis käiva arenduskeskkonna jaoks ja ei pretendeeri korrektseks kasutusjuhendiks.

1. Kliendisertifikaadipõhine autentimine (mida ID-kaardiga autent sisuliselt on, võti on lihtsalt füüsilise eraldi kaardi peal) on puhtalt Apache pärusmaa ja suhteliselt triviaalne kiirelt käima panna.

Esmalt pead ära otsustama, kas tahad kaitsta kogu saiti, mingit alamkausta või mingit maagilist "sisselogimisURLi", mille alt luuakse sessioon, mida hiljem ID-kaart enam ei turva (nagu ülalpool mainitud, kõige ebaturvalisem, aga mõnikord praktiline kasutada). Oma mänguplatsil mängimiseks käib iga variant.

a) kogu sait - lükka saidi VirtualHost tagi sisse (sait ilmselgelt peab siis SSL-i taga olema):