Das Notes Forum

Lotus Notes / Domino 10 => ND10: Entwicklung => Thema gestartet von: eknori am 19.12.18 - 05:35:37

Titel: New features for developers in 10.0.1
Beitrag von: eknori am 19.12.18 - 05:35:37
New features for developers in IBM Domino and Domino Designer 10.0.1 ift.tt/2Lp8ZYV (http://ift.tt/2Lp8ZYV)
Titel: Re: New features for developers in 10.0.1
Beitrag von: Tode am 21.12.18 - 18:31:30
Ich spiele grade mal ein wenig mit "Proton" herum und habe mir die tollen Beispiel- Scripte zur Generierung der CA und der Zertifikate für Proton- Task und Clients angeschaut.

Und dabei habe ich mich gefragt:

1. Kann ich nicht meinen normalen "Domino"- Keyring für Proton mitverwenden? Ist das ein exklusiver Zugriff? (kann ich bald selbst beantworten, probiere ich als erstes aus)
2. Sehe ich das richtig, dass es aktuell zur Kommunikation mit Proton nur die Möglichkeit "Anonymous" (Standard) und client-certificate gibt?
Das heißt: alles läuft mit einem Benutzer, und ich muss die Client- Berechtigungen dann über einen Zusatz- node.js- Server mit oAuth gegen Domino- LDAP selbst abbilden... das könnte eine Herausforderung werden.

ACHTUNG: Bitte die Beispielscripts "make_certs.sh" und "make_keyring.sh" wirklich nur als Beispiele verwenden dafür, wie ihr Eure eigenen Scripts aufbaut... Das ist ja quasi eine "eingebaute Aufforderung zur Sicherheitslücke", so wie die aufgebaut sind.

ACHTUNG2: Im default arbeitet Ihr mit "anonymous" gegen einen Servertask... Welche Berechtigungen Ihr dann auf den Datenbanken habt, muss ich erst noch rausfinden. Bitte auf jeden Fall zumindest PROTON_AUTHENTICATION=client_cert setzen...
Titel: Re: New features for developers in 10.0.1
Beitrag von: eknori am 25.12.18 - 08:59:43
Zitat von: Tode am 21.12.18 - 18:31:30
1. Kann ich nicht meinen normalen "Domino"- Keyring für Proton mitverwenden? Ist das ein exklusiver Zugriff? (kann ich bald selbst beantworten, probiere ich als erstes aus)

Ja, funktioniert

Code
[root@serv02 domino-node-list]# openssl s_client -connect xxx.xxxx.org:3002
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = eknori.blogsite.org
verify return:1
---
Certificate chain
 0 s:/CN=eknori.blogsite.org
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFkzCCBHugAwIBAgISA02ojw4Nx7YNceZNEQjzQ6HRMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xODExMjQwOTI5NDdaFw0x