Re: Bacula y la comunicación TLS
El dom, 21 ene 2024 a las 21:13, Camaleón () escribió: > > El 2024-01-21 a las 13:58 +0100, RLL escribió: > > > Me está resultando dificil hacer uso de las comunicaciones cifradas en > > Bacula. > > > > Estoy reutilizando easy-rsa de OpenVPN para generar certificados de servidor > > para un servidor web Apache sin problemas, y lo mismo quiero hacer para los > > clientes de Bacula donde por lo visto tiene que coincidir el Common Name del > > certificado con la dirección del cliente que no con el nombre del cliente, > > igualmente aplicado al bacula-dir.conf, bacula-sd.conf y bacula-fd.conf . > > > > Entonces cuando hago la conexión con bconsole tras el reinicio de los > > servicios el log que obtengo es el siguiente: > > > > Destaco el mensaje de error "bacula-dir tls.c:94-0 Error with > > certificate at depth: ERR=26:unsuitable certificate purpose" . Cuando > > el certificado del servidor se generó con easy-rsa indicando precisamente > > que es para un servidor. > > No uso Bacula, Sólo un apunte por si te resulta de interés y/o utilidad. > > Aunque es un hilo antiguo (2011) el error y el problema parecen > similares, echa un vistazo a estos mensajes de los foros de Bacula: > > [Bacula-users] bacula and tls. Can't get that working > https://sourceforge.net/p/bacula/mailman/bacula-users/thread/2008190128.6beff8f8%40d830-oh/#msg28371522 > > Saludos, > > -- > Camaleón > Solucionado. Finalmente he podido rellenar bien los ficheros de configuración, cosa compleja por todas las referencias necesarias. Los certificados generados con easy-rsa como server funcionan sin hacer ningún ajuste. El capítulo sobre TLS en el manual 9 se queda corto https://www.bacula.org/9.6.x-manuals/en/main/Bacula_TLS_Communications_E.html y en la versión 11 podemos ver un ejemplo completo https://www.bacula.org/11.0.x-manuals/en/main/Bacula_TLS_Communications_E.html que me ha aclarado todo lo que hay que rellenar. Hay que rellenar tantas referencias de TLS como intervinientes en la comunicación: - De bconsole a Director. - De Director a Storage Daemon. - De Director a Cliente. - De Cliente a Storage Daemon. Añadir a los puntos de descontento con Bacula anteriores indicados en el hilo que si tienes un cliente fuera de tu oficina vas a tener que abrir un puerto en tu firewall porque después de que el Director le diga al Cliente que tiene que empezar a enviar datos, es el Cliente quien abre una conexión hacia el Storage Daemon. Esa última conexión es una pelea con auditores para justificarles abrir un puerto en el firewall. Saludos y gracias.
Re: Bacula y la comunicación TLS
El 21/1/24 a las 18:07, Camaleón escribió: El 2024-01-21 a las 13:58 +0100, RLL escribió: Me está resultando dificil hacer uso de las comunicaciones cifradas en Bacula. Estoy reutilizando easy-rsa de OpenVPN para generar certificados de servidor para un servidor web Apache sin problemas, y lo mismo quiero hacer para los clientes de Bacula donde por lo visto tiene que coincidir el Common Name del certificado con la dirección del cliente que no con el nombre del cliente, igualmente aplicado al bacula-dir.conf, bacula-sd.conf y bacula-fd.conf . Entonces cuando hago la conexión con bconsole tras el reinicio de los servicios el log que obtengo es el siguiente: Destaco el mensaje de error "bacula-dir tls.c:94-0 Error with certificate at depth: ERR=26:unsuitable certificate purpose" . Cuando el certificado del servidor se generó con easy-rsa indicando precisamente que es para un servidor. No uso Bacula, Sólo un apunte por si te resulta de interés y/o utilidad. Aunque es un hilo antiguo (2011) el error y el problema parecen similares, echa un vistazo a estos mensajes de los foros de Bacula: [Bacula-users] bacula and tls. Can't get that working https://sourceforge.net/p/bacula/mailman/bacula-users/thread/2008190128.6beff8f8%40d830-oh/#msg28371522 Saludos, Gracias, revisaré los parámetros de configuración de easy-rsa para tocar justo el propósito del certificado, porque el error que tiene la persona del hilo acaba diciendo que tenía comentado la línea que le permitía generar certificado como servidor cosa que cumplo con easy-rsa: $ easyrsa build-server-full nombre_servidor nopass Por otro lado, estoy tentado de volver a mis scripts bash que hacen uso de rsync+ssh sobre un sistema de ficheros ext4+mdadm. Llevo con Bacula un par de años y hay cositas que voy sacando en claro: - Tiene un fork Bareos y el mantenimiento está ahora dividido entre dos grupos de trabajo. - La curva inicial de aprendizaje es fuerte. La parte más difícil es el despliegue y configuración que ya lo tengo superado. - Es un sistema que escribe sobre ficheros llamados volúmenes de un tamaño deseado, por ejemplo de 10 GB. Se escriben los jobs sobre un conjunto de esos ficheros, tienes que organizar donde van los backups full, y los incrementales, no accedes a los ficheros que quieres recuperar de manera directa. Está simulando que trabaja con cintas. - Requiere de una base de datos que tienes que mantener, crece a medida que quieres indexar los backups antiguos, y tienes que medir su borrado. - Llega un momento que hay ficheros de almacén vacíos, otros a medias... y te es más difícil saber el espacio libre... y el sistema de ficheros se empieza a quedar pequeño de modo que hay que hacer una gestión sobre los volúmenes de Bacula. Un saludo.
Re: Bacula y la comunicación TLS
El 2024-01-21 a las 13:58 +0100, RLL escribió: > Me está resultando dificil hacer uso de las comunicaciones cifradas en > Bacula. > > Estoy reutilizando easy-rsa de OpenVPN para generar certificados de servidor > para un servidor web Apache sin problemas, y lo mismo quiero hacer para los > clientes de Bacula donde por lo visto tiene que coincidir el Common Name del > certificado con la dirección del cliente que no con el nombre del cliente, > igualmente aplicado al bacula-dir.conf, bacula-sd.conf y bacula-fd.conf . > > Entonces cuando hago la conexión con bconsole tras el reinicio de los > servicios el log que obtengo es el siguiente: > > Destaco el mensaje de error "bacula-dir tls.c:94-0 Error with > certificate at depth: ERR=26:unsuitable certificate purpose" . Cuando > el certificado del servidor se generó con easy-rsa indicando precisamente > que es para un servidor. No uso Bacula, Sólo un apunte por si te resulta de interés y/o utilidad. Aunque es un hilo antiguo (2011) el error y el problema parecen similares, echa un vistazo a estos mensajes de los foros de Bacula: [Bacula-users] bacula and tls. Can't get that working https://sourceforge.net/p/bacula/mailman/bacula-users/thread/2008190128.6beff8f8%40d830-oh/#msg28371522 Saludos, -- Camaleón
Bacula y la comunicación TLS
Me está resultando dificil hacer uso de las comunicaciones cifradas en Bacula. Estoy reutilizando easy-rsa de OpenVPN para generar certificados de servidor para un servidor web Apache sin problemas, y lo mismo quiero hacer para los clientes de Bacula donde por lo visto tiene que coincidir el Common Name del certificado con la dirección del cliente que no con el nombre del cliente, igualmente aplicado al bacula-dir.conf, bacula-sd.conf y bacula-fd.conf . Entonces cuando hago la conexión con bconsole tras el reinicio de los servicios el log que obtengo es el siguiente: Destaco el mensaje de error "bacula-dir tls.c:94-0 Error with certificate at depth: ERR=26:unsuitable certificate purpose" . Cuando el certificado del servidor se generó con easy-rsa indicando precisamente que es para un servidor.