Bacula TLS Debian

> TLS required but not configured in Bacula.

Please correct configuration file: /etc/bacula/bacula-fd.conf

Сгенерируйте TLS-сертификат и укажите его в конфиге.

Спасибо что ответили AITap ! :-)

Хорошо, конфиг в студии:-)))
bacula-fd.conf
Director {
Name = z-dir
.....
TLS Enable = yes
TLS Require = yes
TLS Verify Peer = yes
TLS Allowed CN = «server1»
TLS Allowed CN = «client1»
TLS Certificate = /etc/bacula/client1.crt
TLS Key = /etc/bacula/client1.key
TLS CA Certificate File = /etc/bacula/ca.crt
}


FileDaemon { # this is me
Name = client1-fd
......
#насколько я понимаю в этой секции настраивается шифрованная
#передача данных с bacula-sd.conf
TLS Enable = yes
TLS Require = yes
TLS Certificate = /etc/bacula/client1.crt
TLS Key = /etc/bacula/client1.key
TLS CA Certificate File = /etc/bacula/ca.crt
}

Может я где то что то упустил? :-(((
Сертификаты сгенерированны, по папкам разложены, права проверены
CN везде проверены, если честно я даже не знаю уже что может быть :-(((

ЕЕдинственная мысля которая меня все еще не покидает....

..суть ее в том что генерировать CA нужно на каждом хосте свой т.е. файлик /etc/bacula/ca.crt на каждом хосте должен сгенерирован свой отличный...

Поправьте если я не прав, пожалуйста.

Попробуйте вручную запустить bacula или заставить писать более подробные логи.

Что в /var/log/bacula/?

Вот этой папке ничего нету /var/log/bacula/ :-( а как заставить писать логи я даже незнаю :-(

Вот что я делаю:

bacula-fd -t -d ./bacula-fd.conf

20-Ноя 19:35 client1-fd JobId 0: Fatal error: TLS required but not configured in Bacula.
20-Ноя 19:35 client1-fd JobId 0: Fatal error: TLS required but not configured in Bacula.
20-Ноя 19:35 client1-fd: ERROR in filed.c:187 Please correct configuration file: bacula-fd.conf

Попробуйте: bacula-fd -t -f -d 20
(возможно, стоит убрать -t, если эта команда не покажет ничего нового)

Тоже самое :-(((


bacula-fd -f -d 20 ./bacula-fd.conf
20-Ноя 20:00 mail-fd JobId 0: Fatal error: TLS required but not configured in Bacula.
20-Ноя 20:00 mail-fd JobId 0: Fatal error: TLS required but not configured in Bacula.
20-Ноя 20:00 mail-fd: ERROR in filed.c:187 Please correct configuration file: ./bacula-fd.conf

Гораздно удобнее поднять OpenVPN туннель между хостами и не заморачиваться с отдельными программами.

blind_oracle, скажу честно, OpenVPN - это план Б :-)))

Когда я читал (эээ.., ну ладно, пытался) руководство по бакуле, то там, если не ошибаюсь, рассматривались туннели на ssh. А может и не там. Но в поздних версиях они кажется всё таки научили её шифровать самостоятельно.

Гораздно удобнее поднять OpenVPN туннель между хостами и не заморачиваться с отдельными программами.

Это хуже с точки зрения безопасности.

мде, и чем? Зафайрволлить туннель разрешив только нужные сервисы и все.

>.суть ее в том что генерировать CA нужно на каждом хосте свой т.е.

СА по определению должен быть один и тот же.

Я тоже так считаю, хотя и не могу заявить авторитетно :-)

Есть идейка :
попробовать в fd убрать настройки шифрования
в полях FileDaemon
если я не ошибаюсь то эта часть кода отвечает за шифрованное общение с файликом
bacula-sd.conf т.е. именно передача самих данных шЫфруется :-)

Убрал настройки TLS из секции

FileDaemon { # this is me
Name = client1-fd

И на одну ошибку стало меньше :-))))

Restarting Bacula File daemon: 23-Ноя 12:06 client-fd JobId 0: Fatal error: TLS required but not configured in Bacula.
23-Ноя 12:06 client-fd: ERROR in filed.c:187 Please correct configuration file: /etc/bacula/bacula-fd.conf

К слову сказать настраиваю я по вот этому руководству
http://forum.lissyara.su/viewtopic.php?f=3&t=11130&start=25

может быть там что то некорректно продемонстрировано?
Насколько я понял то принцип этих сертификатов и ключей в том что:
Один отдельный хост (Director, Client, Storage) = один пользовательский сертификат с ключом и корневой сертификат.
Причем на каждой стороне указывается хостовый сертификат и ключ+корнейвой сертификат.

bacula в старых debian собрана без поддержки ssl, используйте backports