lscorcia
commented
3 years ago Ciao, la negoziazione SSL stabilisce una vera e propria sessione dell'utente, gestita dal browser e da Apache che nel tuo caso è il terminatore SSL. Non conosco Apache, ma dovrebbe esserci una opzione che obbliga a rinegoziare SSL ad ogni request - se questo risolve il problema, allora è sicuramente la sessione SSL. Certo, rinegoziare a ogni richiesta aumenta il traffico e potrebbe comportare effetti indesiderati per l'utente (tipo la necessità di reinserire il PIN più volte). Purtroppo non credo che ci sia una soluzione definitiva - la negoziazione SSL è gestita a un livello più basso di Keycloak. La cosa più semplice potrebbe essere regolare la durata della sessione SSL a qualcosa di ragionevole, tipo 15/30 minuti, per limitare i danni, oppure come giustamente dici una volta completato il logout mostrare un messaggio in cui si chiede all'utente di chiudere il browser ... ma sono comunque palliativi.
Se sei su piattaforma Windows, potresti anche provare a tracciare la connessione con Fiddler (https://www.telerik.com/fiddler) e vedere se effettivamente i certificati vengono trasmessi dal browser o solo cachati da Apache, ma siccome siamo in https agirà da proxy MITM e non è detto che il test sia significativo.
Fammi sapere cosa salta fuori!
pselvini
Ciao, ho installato l'autenticatore CNS sulla mia istanza 15.0.2 di Keycloak e sono riuscito ad effettuare correttamente l'autenticazione utilizzando un client SAML. Sia le AuthnRequest sia le LogoutRequest SAML vengono correttamente processate da Keycloak e la CNS viene correttamente riconosciuta.
Il problema che ho riscontrato è che, rimuovendo la smart-card dal lettore a seguito di un logout e tentando un nuovo login, Keycloak riutilizza il precedente certificato, nonostante non vi sia più alcune smart-card inserita.
Per approfondire, ho tracciato in debug l'esecuzione dell'authenticator e ho verificato che al secondo giro di autenticazione, a seguito dell'estrazione della CNS dal lettore, nella HttpRequest in effetti risulta ancora presente il certificato della smart-card.
Preciso che ho definito un flusso di autenticazione custom per questo client SAML, in cui ho inserito solo una "execution" di tipo "CNS X509/Validate Username Form" impostata come "REQUIRED". Aggiungo che sto utilizzando un server Apache 2.4 che realizza il canale TLSv1.2 con richiesta di certificato client e proxa poi in AJP verso Keycloak (JBoss/Wildfly).
Stavo pensando che il problema potrebbe essere legato al server Apache che fornisce a Keycloak lo stesso certificato dopo averlo inserito nella SSLSessionCache al primo giro di autenticazione. Chiudendo il browser e ripartendo da capo però il problema scompare e l'assenza della smart-card impedisce l'autenticazione. Mi chiedevo se fossi a conoscenza di un modo per evitare questo inconveniente anche senza chiudere il browser.
Grazie per qualunque supporto!