Thomas's questions

É possível executar o FreeRadius (versão 3.0.13) com duas CAs diferentes? Para que eu tenha um certificado de servidor de uma CA e os certificados de cliente venham de uma CA diferente?

Nossa configuração atual /etc/raddb/mods-enabled/eapse parece um pouco com isso:

...
tls-config tls-common {
  certificate_file = ${certdir}/server.pem  # certificate only from CA ONE
  ca_file = ${cadir}/ca.pem                 # complete chain from CA TWO
  auto_chain = no
  ca_path = ${cadir}                        # contains all certs/complete chains from both CAs
}
...

E este é o erro que vejo nos logs:

Mon Dec 20 13:15:30 2021 : ERROR: (352) eap_tls: ERROR: TLS Alert read:fatal:unknown CA
Mon Dec 20 13:15:30 2021 : ERROR: (352) eap_tls: ERROR: TLS_accept: Failed in error
Mon Dec 20 13:15:30 2021 : ERROR: (352) eap_tls: ERROR: Failed in __FUNCTION__ (SSL_read)

Depois que os clientes e o servidor obtiveram seus certificados da mesma CA, tudo funcionou bem.

Então, é possível ter CAs diferentes para servidor e cliente? Se sim, o que eu teria que fazer para realizar essa tarefa?

Estou tentando proteger um caminho de url com autenticação básica e quero usar os usuários do meu aplicativo Django que estão armazenados em um banco de dados Postgres. O usuário apptem permissão para acessar este banco de dados, o aplicativo da web funciona bem, mas o script de autenticação é executado com o usuário errado.

WSGIDaemonProcess app user=app group=www-data home=/app
<VirtualHost>
  # other stuff here

  <Location /admin/protected>
    AuthType Basic
    AuthName "Login Required"
    Require valid-user
    AuthBasicProvider wsgi
    WSGIAuthUserScript  /app/scripts/auth.wsgi
  </Location>

  WSGIScriptAlias   /   /app/django.wsgi
  WSGIProcessGroup  app
</VirtualHost>

Este é o erro que recebo nos meus logs:

OperationalError: FATAL:  Ident authentication failed for user "www-data"

Existe uma maneira de alterar o usuário com o qual o auth.wsgiscript é executado?