Ошибка SSL при использовании запросов Python для доступа к аутентифицированному серверу Shibboleth

Я пытаюсь получить доступ к журнальной статье, размещенной поставщиком академических услуг (SP), с помощью скрипта Python.

Сервер аутентифицируется, используя логин Shibboleth. Я прочитал Вход на сервер с аутентификацией SAML/Shibboleth с использованием python и пытался реализовать логин с Python Requests.

Сценарий начинается с запроса у SP ссылки, ведущей к моему учреждению IDP, и предполагается, что затем он автоматически аутентифицируется с помощью IDP. Первая часть работает, но при переходе по ссылке на провайдера зависает на ошибке SSL. Вот что я использовал:

import requests
import lxml.html

LOGINLINK = 'https://www.jsave.org/action/showLogin?redirectUri=%2F'
USERAGENT = 'Mozilla/5.0 (X11; Linux x86_64; rv:28.0) Gecko/20100101 Firefox/28.0'

s = requests.session()
s.headers.update({'User-Agent' : USERAGENT})

# getting the page where you can search for your IDP
# need to get the cookies so we can continue
response = s.get(LOGINLINK)
rtext = response.text
print('Don\'t see your school?' in rtext) # prints True

# POSTing the name of my institution
data = {
    'institutionName' : 'tubingen',
    'submitForm' : 'Search',
    'currUrl' : '%2Faction%2FshowBasicSearch',
    'redirectUri' : '%2F',
    'activity' : 'isearch'
}
response = s.post(BASEURL + '/action/showLogin', data=data)
rtext = response.text
print('university of tubingen' in rtext) # prints True

# get the link that leads to the IDP
tree = lxml.html.fromstring(rtext)
loginlinks = tree.cssselect('a.extLogin')
if (loginlinks):
    loginlink = loginlinks[0].get('href')
else: 
    exit(1)

print('continuing to IDP')
response = s.get(loginlink)
rtext = response.text
print('zentrale Anmeldeseite' in rtext)

Это дает:

continuing to IDP...

2014-04-04 10:04:06,010 - INFO - Starting new HTTPS connection (1): idp.uni-tuebingen.de
Traceback (most recent call last):

File "/usr/lib/python3.4/site-packages/requests/packages/urllib3/connectionpool.py", line 480, in urlopen
body=body, headers=headers)

File "/usr/lib/python3.4/site-packages/requests/packages/urllib3/connectionpool.py", line 285, in _make_request
conn.request(method, url, **httplib_request_kw)

File "/usr/lib/python3.4/http/client.py", line 1066, in request
self._send_request(method, url, body, headers)

File "/usr/lib/python3.4/http/client.py", line 1104, in _send_request
self.endheaders(body)

File "/usr/lib/python3.4/http/client.py", line 1062, in endheaders
self._send_output(message_body)

File "/usr/lib/python3.4/http/client.py", line 907, in _send_output
self.send(msg)

File "/usr/lib/python3.4/http/client.py", line 842, in send
self.connect()

File "/usr/lib/python3.4/site-packages/requests/packages/urllib3/connection.py", line 164, in connect
ssl_version=resolved_ssl_version)

File "/usr/lib/python3.4/site-packages/requests/packages/urllib3/util.py", line 639, in ssl_wrap_socket
return context.wrap_socket(sock, server_hostname=server_hostname)

File "/usr/lib/python3.4/ssl.py", line 344, in wrap_socket
_context=self)

File "/usr/lib/python3.4/ssl.py", line 540, in __init__
self.do_handshake()

File "/usr/lib/python3.4/ssl.py", line 767, in do_handshake
self._sslobj.do_handshake()

ssl.SSLError: [SSL: TLSV1_ALERT_INTERNAL_ERROR] tlsv1 alert internal error (_ssl.c:598)


During handling of the above exception, another exception occurred:

Traceback (most recent call last):

File "/usr/lib/python3.4/site-packages/requests/adapters.py", line 330, in send
timeout=timeout

File "/usr/lib/python3.4/site-packages/requests/packages/urllib3/connectionpool.py", line 504, in urlopen
raise SSLError(e)

requests.packages.urllib3.exceptions.SSLError: [SSL: TLSV1_ALERT_INTERNAL_ERROR] tlsv1 alert internal error (_ssl.c:598)


During handling of the above exception, another exception occurred:

Traceback (most recent call last):
File "./try.py", line 154, in <module>
response = s.get(loginlink)

File "/usr/lib/python3.4/site-packages/requests/sessions.py", line 395, in get
return self.request('GET', url, **kwargs)

File "/usr/lib/python3.4/site-packages/requests/sessions.py", line 383, in request
resp = self.send(prep, **send_kwargs)

File "/usr/lib/python3.4/site-packages/requests/sessions.py", line 486, in send
r = adapter.send(request, **kwargs)

File "/usr/lib/python3.4/site-packages/requests/adapters.py", line 385, in send
raise SSLError(e)

requests.exceptions.SSLError: [SSL: TLSV1_ALERT_INTERNAL_ERROR] tlsv1 alert internal error (_ssl.c:598)

Использование s.get(loginlink, verify=False) дает точно такую ​​же ошибку. Простое использование urllib.request.urlopen(loginlink) тоже делает то же самое.

С другой стороны, печать и вставка ссылки в Firefox работает нормально.


python ssl python-requests python-3.4 shibboleth
person user3497169    schedule 04.04.2014    source источник

Ответы (1)


arrow_upward
2
arrow_downward

После попытки с openssl s_client похоже, что пункт назначения idp.uni-tuebingen.de:443 поддерживает только SSLv3 и плохо работает на чем-то более новом. При принудительном использовании SSLv3 вы получаете:

$ openssl s_client -connect idp.uni-tuebingen.de:443 -ssl3
CONNECTED(00000003)
depth=3 C = DE, O = Deutsche Telekom AG, OU = T-TeleSec Trust Center, CN = Deutsche Telekom Root CA 2
...

Но с настройкой по умолчанию или форсированием TLv1 (-tls1) возвращается только предупреждение:

openssl s_client -connect idp.uni-tuebingen.de:443 
CONNECTED(00000003)
140493591938752:error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error:s23_clnt.c:741:

Поэтому вам нужно найти способ принудительно использовать SSLv3 для этого соединения. На данный момент я не знаком с python, но, возможно, http://docs.python-requests.org/en/latest/user/advanced/ помогает глава «Пример: конкретная версия SSL».

И почему это работает с firefox: браузеры обычно повторяют попытку с более ранней версией SSL, если соединение с более безопасными версиями не удается. Например. все пытаются обойти сломанные вещи, чтобы владелец сломанных вещей не собирался их чинить :(

person Steffen Ullrich    schedule 04.04.2014
comment
Большое спасибо, я заставил его работать с запросами Python, следуя вашему совету и lukasa.co. uk/2013/01/Выбор_SSL_Version_In_Requests. Добавлен класс адаптера, заставляющий ssl_version=ssl.PROTOCOL_SSLv3. - person user3497169; 04.04.2014