Probleme mit "TLSCARevocationFile" und "TLSOp

[Sven Vollmann]

Hallo,

ich habe vor kurzem den ProFTP 1.2.9rc1 mit mod_tls installiert. Anschließend wurde ein Wurzel- und Serverzertifikat mit Schlüssel generiert und folgendermaßen eingebunden:

TLSRSACertificateFile /usr/local/ssl/ssl/certs/FTP.crt
TLSRSACertificateKeyFile /usr/local/ssl/ssl/certs/FTP.key
TLSCACertificateFile /usr/local/ssl/ssl/private/CA.crt

Um eine Authentifizierung nur solchen Clients zu ermöglichen die ein von mir signiertes Zertifikat besitzen wurden folgende Direktiven gesetzt:

TLSEngine on
TLSProtocol TLSv1
TLSRequired on
TLSVerifyClient on

Als Client benutze ich SmartFTP. Der Login unter dem Benutzernamen "Anonymous" und mit entsprechendem unterschriebenen Zertifikat gelingt einwandfrei.

Nun möchte ich aber nicht das die User sich als "Anonymous" einloggen, sondern ausschließlich über ihr Zertifikat, also ohne einen Benutzernamen , und vor allem ohne ein Passwort, eingeben zu müssen. Die Direktive "TLSOptions AllowDotLogin" scheint in diese Richtung zu gehen, allerdings müssen alle User immer noch lokal auf dem Rechner eingetragen sein, da das Homeverzeichnis für die ".tlslogin" Datei benötigt wird. Und hier ist das Problem: Meine User besitzen kein Homeverzeichnis auf dem Rechner. Bisher wurde ausschließlich mit einem "AuthUserFile" gearbeitet.

Mein zweites Problem betrifft die Direktive "TLSCARevocationFile". Ich habe eines meiner Client-Zertifikate zurückgerufen und dann die entsprechende CRL-Datei angegeben. Es ist allerdings weiterhin ein Login mit dem Zertifikat möglich. Es scheint so als ob er die CRL-Datei gar nicht einliest, da auch ein gewolltes Unbrauchbar machen der Datei von dem ProFTP-Server nicht angemeckert wird.

So, ich hoffe meine Probleme sind einigermaßen verständlich geblieben und möchte mich schon mal bedanken. :-)

MfG

Sven Vollmann