|
 |
d18119 |
From 94ca49d991b3f5bb404533f84970a1b2485d9cc8 Mon Sep 17 00:00:00 2001
|
|
|
d18119 |
From: Antonio Torres <antorres@redhat.com>
|
|
|
d18119 |
Date: Fri, 23 Apr 2021 17:48:14 +0200
|
|
|
d18119 |
Subject: [PATCH] Add tests for certificate mismatch detection
|
|
|
d18119 |
|
|
|
d18119 |
Add tests for the IPACertMatchCheck and IPADogtagCertsMatchCheck plugins.
|
|
|
d18119 |
|
|
|
d18119 |
Related: https://bugzilla.redhat.com/show_bug.cgi?id=1886770
|
|
|
d18119 |
Signed-off-by: Antonio Torres <antorres@redhat.com>
|
|
|
d18119 |
---
|
|
|
d18119 |
tests/test_ipa_cert_match.py | 282 +++++++++++++++++++++++++++++++++++
|
|
|
d18119 |
1 file changed, 282 insertions(+)
|
|
|
d18119 |
create mode 100644 tests/test_ipa_cert_match.py
|
|
|
d18119 |
|
|
|
d18119 |
diff --git a/tests/test_ipa_cert_match.py b/tests/test_ipa_cert_match.py
|
|
|
d18119 |
new file mode 100644
|
|
|
d18119 |
index 0000000..460e61a
|
|
|
d18119 |
--- /dev/null
|
|
|
d18119 |
+++ b/tests/test_ipa_cert_match.py
|
|
|
d18119 |
@@ -0,0 +1,282 @@
|
|
|
d18119 |
+#
|
|
|
d18119 |
+# Copyright (C) 2021 FreeIPA Contributors see COPYING for license
|
|
|
d18119 |
+#
|
|
|
d18119 |
+
|
|
|
d18119 |
+from util import capture_results, m_api, CAInstance, KRAInstance
|
|
|
d18119 |
+from base import BaseTest
|
|
|
d18119 |
+from ipahealthcheck.core import config, constants
|
|
|
d18119 |
+from ipahealthcheck.ipa.plugin import registry
|
|
|
d18119 |
+from ipahealthcheck.ipa.certs import IPACertMatchCheck
|
|
|
d18119 |
+from ipahealthcheck.ipa.certs import IPADogtagCertsMatchCheck
|
|
|
d18119 |
+from unittest.mock import Mock, patch
|
|
|
d18119 |
+
|
|
|
d18119 |
+from ipalib import errors
|
|
|
d18119 |
+from ipapython.dn import DN
|
|
|
d18119 |
+from ipapython.ipaldap import LDAPClient, LDAPEntry
|
|
|
d18119 |
+
|
|
|
d18119 |
+
|
|
|
d18119 |
+class IPACertificate:
|
|
|
d18119 |
+ def __init__(self, serial_number=1):
|
|
|
d18119 |
+ self.serial_number = serial_number
|
|
|
d18119 |
+
|
|
|
d18119 |
+ def __eq__(self, other):
|
|
|
d18119 |
+ return self.serial_number == other.serial_number
|
|
|
d18119 |
+
|
|
|
d18119 |
+ def __hash__(self):
|
|
|
d18119 |
+ return hash(self.serial_number)
|
|
|
d18119 |
+
|
|
|
d18119 |
+
|
|
|
d18119 |
+class mock_ldap:
|
|
|
d18119 |
+ SCOPE_BASE = 1
|
|
|
d18119 |
+ SCOPE_ONELEVEL = 2
|
|
|
d18119 |
+ SCOPE_SUBTREE = 4
|
|
|
d18119 |
+
|
|
|
d18119 |
+ def __init__(self, entries):
|
|
|
d18119 |
+ """Initialize the results that we will return from get_entry"""
|
|
|
d18119 |
+ self.results = {entry.dn: entry for entry in entries}
|
|
|
d18119 |
+
|
|
|
d18119 |
+ def get_entry(self, dn, attrs_list=None, time_limit=None,
|
|
|
d18119 |
+ size_limit=None, get_effective_rights=False):
|
|
|
d18119 |
+ if self.results is None:
|
|
|
d18119 |
+ raise errors.NotFound(reason='test')
|
|
|
d18119 |
+ return self.results[dn]
|
|
|
d18119 |
+
|
|
|
d18119 |
+ def get_entries(self, base_dn, scope=SCOPE_SUBTREE, filter=None,
|
|
|
d18119 |
+ attrs_list=None, get_effective_rights=False, **kwargs):
|
|
|
d18119 |
+ if self.results is None:
|
|
|
d18119 |
+ raise errors.NotFound(reason='test')
|
|
|
d18119 |
+ return self.results.values()
|
|
|
d18119 |
+
|
|
|
d18119 |
+
|
|
|
d18119 |
+class mock_ldap_conn:
|
|
|
d18119 |
+ def set_option(self, option, invalue):
|
|
|
d18119 |
+ pass
|
|
|
d18119 |
+
|
|
|
d18119 |
+ def search_s(self, base, scope, filterstr=None,
|
|
|
d18119 |
+ attrlist=None, attrsonly=0):
|
|
|
d18119 |
+ return tuple()
|
|
|
d18119 |
+
|
|
|
d18119 |
+
|
|
|
d18119 |
+class mock_CertDB:
|
|
|
d18119 |
+ def __init__(self, trust):
|
|
|
d18119 |
+ """A dict of nickname + NSSdb trust flags"""
|
|
|
d18119 |
+ self.trust = trust
|
|
|
d18119 |
+ self.secdir = '/foo/bar/testdir'
|
|
|
d18119 |
+
|
|
|
d18119 |
+ def get_cert_from_db(self, nickname):
|
|
|
d18119 |
+ if nickname not in self.trust.keys():
|
|
|
d18119 |
+ raise errors.NotFound(reason='test')
|
|
|
d18119 |
+ return IPACertificate()
|
|
|
d18119 |
+
|
|
|
d18119 |
+ def run_certutil(self, args, capture_output):
|
|
|
d18119 |
+ class RunResult:
|
|
|
d18119 |
+ def __init__(self, output):
|
|
|
d18119 |
+ self.raw_output = output
|
|
|
d18119 |
+
|
|
|
d18119 |
+ return RunResult(b'test output')
|
|
|
d18119 |
+
|
|
|
d18119 |
+
|
|
|
d18119 |
+class TestIPACertMatch(BaseTest):
|
|
|
d18119 |
+ patches = {
|
|
|
d18119 |
+ 'ldap.initialize':
|
|
|
d18119 |
+ Mock(return_value=mock_ldap_conn())
|
|
|
d18119 |
+ }
|
|
|
d18119 |
+
|
|
|
d18119 |
+ @patch('ipalib.x509.load_certificate_list_from_file')
|
|
|
d18119 |
+ @patch('ipaserver.install.certs.CertDB')
|
|
|
d18119 |
+ def test_certs_match_ok(self, mock_certdb, mock_load_cert):
|
|
|
d18119 |
+ """ Ensure match check is ok"""
|
|
|
d18119 |
+ fake_conn = LDAPClient('ldap://localhost', no_schema=True)
|
|
|
d18119 |
+ cacertentry = LDAPEntry(fake_conn,
|
|
|
d18119 |
+ DN('cn=%s IPA CA' % m_api.env.realm,
|
|
|
d18119 |
+ 'cn=certificates,cn=ipa,cn=etc',
|
|
|
d18119 |
+ m_api.env.basedn),
|
|
|
d18119 |
+ CACertificate=[IPACertificate()])
|
|
|
d18119 |
+ trust = {
|
|
|
d18119 |
+ ('%s IPA CA' % m_api.env.realm): 'u,u,u'
|
|
|
d18119 |
+ }
|
|
|
d18119 |
+
|
|
|
d18119 |
+ mock_certdb.return_value = mock_CertDB(trust)
|
|
|
d18119 |
+ mock_load_cert.return_value = [IPACertificate()]
|
|
|
d18119 |
+
|
|
|
d18119 |
+ framework = object()
|
|
|
d18119 |
+ registry.initialize(framework, config.Config())
|
|
|
d18119 |
+ f = IPACertMatchCheck(registry)
|
|
|
d18119 |
+ f.conn = mock_ldap([cacertentry])
|
|
|
d18119 |
+ self.results = capture_results(f)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ assert len(self.results) == 3
|
|
|
d18119 |
+ for result in self.results.results:
|
|
|
d18119 |
+ assert result.result == constants.SUCCESS
|
|
|
d18119 |
+ assert result.source == 'ipahealthcheck.ipa.certs'
|
|
|
d18119 |
+ assert result.check == 'IPACertMatchCheck'
|
|
|
d18119 |
+
|
|
|
d18119 |
+ @patch('ipalib.x509.load_certificate_list_from_file')
|
|
|
d18119 |
+ @patch('ipaserver.install.certs.CertDB')
|
|
|
d18119 |
+ def test_etc_cacert_mismatch(self, mock_certdb, mock_load_cert):
|
|
|
d18119 |
+ """ Test mismatch with /etc/ipa/ca.crt """
|
|
|
d18119 |
+ fake_conn = LDAPClient('ldap://localhost', no_schema=True)
|
|
|
d18119 |
+ cacertentry = LDAPEntry(fake_conn,
|
|
|
d18119 |
+ DN('cn=%s IPA CA' % m_api.env.realm,
|
|
|
d18119 |
+ 'cn=certificates,cn=ipa,cn=etc',
|
|
|
d18119 |
+ m_api.env.basedn),
|
|
|
d18119 |
+ CACertificate=[IPACertificate()])
|
|
|
d18119 |
+ trust = {
|
|
|
d18119 |
+ ('%s IPA CA' % m_api.env.realm): 'u,u,u'
|
|
|
d18119 |
+ }
|
|
|
d18119 |
+
|
|
|
d18119 |
+ mock_certdb.return_value = mock_CertDB(trust)
|
|
|
d18119 |
+ mock_load_cert.return_value = [IPACertificate(serial_number=2)]
|
|
|
d18119 |
+
|
|
|
d18119 |
+ framework = object()
|
|
|
d18119 |
+ registry.initialize(framework, config.Config())
|
|
|
d18119 |
+ f = IPACertMatchCheck(registry)
|
|
|
d18119 |
+ f.conn = mock_ldap([cacertentry])
|
|
|
d18119 |
+ self.results = capture_results(f)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ assert len(self.results) == 3
|
|
|
d18119 |
+ result = self.results.results[0]
|
|
|
d18119 |
+ assert result.result == constants.ERROR
|
|
|
d18119 |
+ assert result.source == 'ipahealthcheck.ipa.certs'
|
|
|
d18119 |
+ assert result.check == 'IPACertMatchCheck'
|
|
|
d18119 |
+
|
|
|
d18119 |
+ @patch('ipaserver.install.cainstance.CAInstance')
|
|
|
d18119 |
+ def test_cacert_caless(self, mock_cainstance):
|
|
|
d18119 |
+ """Nothing to check if the master is CALess"""
|
|
|
d18119 |
+
|
|
|
d18119 |
+ mock_cainstance.return_value = CAInstance(False)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ framework = object()
|
|
|
d18119 |
+ registry.initialize(framework, config)
|
|
|
d18119 |
+ f = IPACertMatchCheck(registry)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ self.results = capture_results(f)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ assert len(self.results) == 0
|
|
|
d18119 |
+
|
|
|
d18119 |
+
|
|
|
d18119 |
+class TestIPADogtagCertMatch(BaseTest):
|
|
|
d18119 |
+ patches = {
|
|
|
d18119 |
+ 'ipaserver.install.krainstance.KRAInstance':
|
|
|
d18119 |
+ Mock(return_value=KRAInstance()),
|
|
|
d18119 |
+ }
|
|
|
d18119 |
+
|
|
|
d18119 |
+ @patch('ipaserver.install.certs.CertDB')
|
|
|
d18119 |
+ def test_certs_match_ok(self, mock_certdb):
|
|
|
d18119 |
+ """ Ensure match check is ok"""
|
|
|
d18119 |
+ fake_conn = LDAPClient('ldap://localhost', no_schema=True)
|
|
|
d18119 |
+ pkidbentry = LDAPEntry(fake_conn,
|
|
|
d18119 |
+ DN('uid=pkidbuser,ou=people,o=ipaca'),
|
|
|
d18119 |
+ userCertificate=[IPACertificate()],
|
|
|
d18119 |
+ subjectName=['test'])
|
|
|
d18119 |
+ casignentry = LDAPEntry(fake_conn,
|
|
|
d18119 |
+ DN('cn=%s IPA CA' % m_api.env.realm,
|
|
|
d18119 |
+ 'cn=certificates,cn=ipa,cn=etc',
|
|
|
d18119 |
+ m_api.env.basedn),
|
|
|
d18119 |
+ CACertificate=[IPACertificate()],
|
|
|
d18119 |
+ userCertificate=[IPACertificate()],
|
|
|
d18119 |
+ subjectName=['test'])
|
|
|
d18119 |
+ ldap_entries = [pkidbentry, casignentry]
|
|
|
d18119 |
+ trust = {
|
|
|
d18119 |
+ 'ocspSigningCert cert-pki-ca': 'u,u,u',
|
|
|
d18119 |
+ 'caSigningCert cert-pki-ca': 'u,u,u',
|
|
|
d18119 |
+ 'subsystemCert cert-pki-ca': 'u,u,u',
|
|
|
d18119 |
+ 'auditSigningCert cert-pki-ca': 'u,u,Pu',
|
|
|
d18119 |
+ 'Server-Cert cert-pki-ca': 'u,u,u',
|
|
|
d18119 |
+ 'transportCert cert-pki-kra': 'u,u,u',
|
|
|
d18119 |
+ 'storageCert cert-pki-kra': 'u,u,u',
|
|
|
d18119 |
+ 'auditSigningCert cert-pki-kra': 'u,u,Pu',
|
|
|
d18119 |
+ }
|
|
|
d18119 |
+
|
|
|
d18119 |
+ dogtag_entries_subjects = (
|
|
|
d18119 |
+ 'CN=OCSP Subsystem,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ 'CN=CA Subsystem,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ 'CN=CA Audit,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ 'CN=%s,O=%s' % (m_api.env.host, m_api.env.realm),
|
|
|
d18119 |
+ 'CN=KRA Transport Certificate,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ 'CN=KRA Storage Certificate,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ 'CN=KRA Audit,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ )
|
|
|
d18119 |
+
|
|
|
d18119 |
+ for i, subject in enumerate(dogtag_entries_subjects):
|
|
|
d18119 |
+ entry = LDAPEntry(fake_conn,
|
|
|
d18119 |
+ DN('cn=%i,ou=certificateRepository' % i,
|
|
|
d18119 |
+ 'ou=ca,o=ipaca'),
|
|
|
d18119 |
+ userCertificate=[IPACertificate()],
|
|
|
d18119 |
+ subjectName=[subject])
|
|
|
d18119 |
+ ldap_entries.append(entry)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ mock_certdb.return_value = mock_CertDB(trust)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ framework = object()
|
|
|
d18119 |
+ registry.initialize(framework, config.Config())
|
|
|
d18119 |
+ f = IPADogtagCertsMatchCheck(registry)
|
|
|
d18119 |
+ f.conn = mock_ldap(ldap_entries)
|
|
|
d18119 |
+ self.results = capture_results(f)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ assert len(self.results) == 3
|
|
|
d18119 |
+ for result in self.results.results:
|
|
|
d18119 |
+ assert result.result == constants.SUCCESS
|
|
|
d18119 |
+ assert result.source == 'ipahealthcheck.ipa.certs'
|
|
|
d18119 |
+ assert result.check == 'IPADogtagCertsMatchCheck'
|
|
|
d18119 |
+
|
|
|
d18119 |
+ @patch('ipaserver.install.certs.CertDB')
|
|
|
d18119 |
+ def test_certs_mismatch(self, mock_certdb):
|
|
|
d18119 |
+ """ Ensure mismatches are detected"""
|
|
|
d18119 |
+ fake_conn = LDAPClient('ldap://localhost', no_schema=True)
|
|
|
d18119 |
+ pkidbentry = LDAPEntry(fake_conn,
|
|
|
d18119 |
+ DN('uid=pkidbuser,ou=people,o=ipaca'),
|
|
|
d18119 |
+ userCertificate=[IPACertificate(
|
|
|
d18119 |
+ serial_number=2
|
|
|
d18119 |
+ )],
|
|
|
d18119 |
+ subjectName=['test'])
|
|
|
d18119 |
+ casignentry = LDAPEntry(fake_conn,
|
|
|
d18119 |
+ DN('cn=%s IPA CA' % m_api.env.realm,
|
|
|
d18119 |
+ 'cn=certificates,cn=ipa,cn=etc',
|
|
|
d18119 |
+ m_api.env.basedn),
|
|
|
d18119 |
+ CACertificate=[IPACertificate()],
|
|
|
d18119 |
+ userCertificate=[IPACertificate()],
|
|
|
d18119 |
+ subjectName=['test'])
|
|
|
d18119 |
+ ldap_entries = [pkidbentry, casignentry]
|
|
|
d18119 |
+ trust = {
|
|
|
d18119 |
+ 'ocspSigningCert cert-pki-ca': 'u,u,u',
|
|
|
d18119 |
+ 'caSigningCert cert-pki-ca': 'u,u,u',
|
|
|
d18119 |
+ 'subsystemCert cert-pki-ca': 'u,u,u',
|
|
|
d18119 |
+ 'auditSigningCert cert-pki-ca': 'u,u,Pu',
|
|
|
d18119 |
+ 'Server-Cert cert-pki-ca': 'u,u,u',
|
|
|
d18119 |
+ 'transportCert cert-pki-kra': 'u,u,u',
|
|
|
d18119 |
+ 'storageCert cert-pki-kra': 'u,u,u',
|
|
|
d18119 |
+ 'auditSigningCert cert-pki-kra': 'u,u,Pu',
|
|
|
d18119 |
+ }
|
|
|
d18119 |
+
|
|
|
d18119 |
+ dogtag_entries_subjects = (
|
|
|
d18119 |
+ 'CN=OCSP Subsystem,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ 'CN=CA Subsystem,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ 'CN=CA Audit,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ 'CN=%s,O=%s' % (m_api.env.host, m_api.env.realm),
|
|
|
d18119 |
+ 'CN=KRA Transport Certificate,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ 'CN=KRA Storage Certificate,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ 'CN=KRA Audit,O=%s' % m_api.env.realm,
|
|
|
d18119 |
+ )
|
|
|
d18119 |
+
|
|
|
d18119 |
+ for i, subject in enumerate(dogtag_entries_subjects):
|
|
|
d18119 |
+ entry = LDAPEntry(fake_conn,
|
|
|
d18119 |
+ DN('cn=%i,ou=certificateRepository' % i,
|
|
|
d18119 |
+ 'ou=ca,o=ipaca'),
|
|
|
d18119 |
+ userCertificate=[IPACertificate()],
|
|
|
d18119 |
+ subjectName=[subject])
|
|
|
d18119 |
+ ldap_entries.append(entry)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ mock_certdb.return_value = mock_CertDB(trust)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ framework = object()
|
|
|
d18119 |
+ registry.initialize(framework, config.Config())
|
|
|
d18119 |
+ f = IPADogtagCertsMatchCheck(registry)
|
|
|
d18119 |
+ f.conn = mock_ldap(ldap_entries)
|
|
|
d18119 |
+ self.results = capture_results(f)
|
|
|
d18119 |
+
|
|
|
d18119 |
+ assert len(self.results) == 3
|
|
|
d18119 |
+ result = self.results.results[0]
|
|
|
d18119 |
+ assert result.result == constants.ERROR
|
|
|
d18119 |
+ assert result.source == 'ipahealthcheck.ipa.certs'
|
|
|
d18119 |
+ assert result.check == 'IPADogtagCertsMatchCheck'
|
|
|
d18119 |
--
|
|
|
d18119 |
2.26.3
|
|
|
d18119 |
|