Esta ma\u00f1ana he conseguido realizar una configuraci\u00f3n exitosa en un dispositivo FirePass para permitir la identificaci\u00f3n de usuarios con m\u00faltiples certificados de usuario mediante la extracci\u00f3n de registros de la cadena del certificado.<\/p>\n
Los FirePass permiten realizar una extracci\u00f3n de un valor para realizar la autenticaci\u00f3n de usuario que accede al dispositivo. Por defecto permite recabar los valores correspondientes al CN, SN o correo electr\u00f3nico, pero ante la posibilidad de que se quiera extraer otro valor diferente, proporciona la posibilidad de usar una expresi\u00f3n regular para obtener un valor personalizado.<\/p>\n
Sin embargo esto tiene lo que entiendo que es una limitaci\u00f3n: aunque es posible tener instalados en el dispositivo varios Client Root Certificates<\/em>, s\u00f3lo permite introducir una \u00fanica expresi\u00f3n regular, que se aplica a todos los certificados cliente. Por s\u00ed solo ello no ser\u00eda mayor problema, pero se junta con un segundo inconveniente: la expresi\u00f3n regular anteriormente citada se compone mediante sintaxis perl, pero se ha escogido como car\u00e1cter identificador de inicio y fin de la expresi\u00f3n el car\u00e1cter \u00ab|\u00bb, que en expresiones regulares de perl expresa un OR<\/em>. Para m\u00e1s inri, la documentaci\u00f3n relativa a la sintaxis de las expresiones regulares de F5 (y en concreto de cu\u00e1l es el car\u00e1cter representativo del OR) es escasa o inexistente (o bien yo soy muy torpe y no he sido capaz de encontrarla).<\/p>\n Ante ello nos encontramos que si usamos certificados diferentes de manera simult\u00e1nea tenemos que usar una \u00fanica expresi\u00f3n para extraer el mismo valor de diferentes cadenas de datos. A continuaci\u00f3n muestro dos cadenas de ejemplo:<\/p>\n \/C=ES\/serialNumber=11222333J\/SN=APELLIDO1\/GN=NOMBRE\/CN=APELLIDO1 APELLIDO2, NOMBRE (AUTENTICACI\\<\/p><\/blockquote>\n En este primer certificado, correspondiente a un DNI Electr\u00f3nico, el NIF de la persona se identifica con el campo serialNumber<\/em>. Para este tipo de certificado podr\u00eda extraerse el DNI con una expresi\u00f3n como la siguiente:<\/p>\n \/C=ES\/O=FNMT\/OU=FNMT Clase 2 CA\/OU=123456789\/CN=NOMBRE APELLIDO1 APELLIDO2 NOMBRE – NIF 11222333J<\/p><\/blockquote>\n En este segundo certificado, expedido por la FNMT, el NIF aparece dentro de un campo CN. Para este tipo de certificado podr\u00eda extraerse el DNI con una expresi\u00f3n como la siguiente:<\/p>\n Como se puede ver, ambas secuencias son completamente diferentes. En condiciones normales se podr\u00eda resolver mediante una disyunci\u00f3n, pero en este caso no esta opci\u00f3n, por las razones expuestas anteriormente, no es viable.<\/p>\n La soluci\u00f3n a este problema viene dada por el uso de las clases de caracteres ([ ]). En la primera expresi\u00f3n el DNI viene precedido por la secuenca de estos cuatro caracteres: \u00abber=\u00bb, mientras que en la segunda viene precedido por estos cuatro: \u00abNIF \u00ab. Si componemos una expresi\u00f3n que busque un grupo de ocho caracteres num\u00e9ricos (en este caso s\u00f3lo nos interesa el DNI, no el NIF, por lo que no es necesaria la letra) precedido por pares alternos de ambos tipos de caracteres, queda una expresi\u00f3n como esta:<\/p>\n que es capaz de extraer el DNI del due\u00f1o del certificado en ambos casos.<\/p>\n Si me dejan, otro d\u00eda contar\u00e9 en qu\u00e9 se est\u00e1 usando esto.<\/p>\n|serialNumber=(\\d{8})|<\/code><\/p>\n|NIF (\\d{8})|<\/code><\/p>\n|[bN][eI][rF][= ](\\d{8})| <\/code><\/p>\n