<p dir="ltr">Thanks for the quick response.  We'll look into these items.</p>
<p dir="ltr">Mike B<br>
</p>
<div class="gmail_quote">On Oct 5, 2015 6:52 PM, "Stuart Raeburn" <<a href="mailto:raeburn@msu.edu">raeburn@msu.edu</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Mike,<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
What traffic goes across the other ports that LON-CAPA uses (e.g. 5663) and<br>
is that encrypted?  Is this FERPA covered data being transmitted without<br>
encryption?<br>
</blockquote>
<br>
My suggestion would be to run the request_ssl_key.sh script (in /home/httpd/lonCerts) on your library server and each of your access servers  so you can use SSL encryption for internal LON-CAPA traffic via port 5663 when your servers connect to other servers in the network, which have also installed LON-CAPA SSL certs (and had them signed by the LON-CAPA Certificate Authority).<br>
<br>
Please read the instructions in the "Internal LON-CAPA SSL" part of section 2.21 "Encrypting server traffic with SSL" in the domain coordination manual -- <a href="https://loncapa.purdue.edu/adm/help/domain.manual.pdf" rel="noreferrer" target="_blank">https://loncapa.purdue.edu/adm/help/domain.manual.pdf</a> -- for more information.<br>
<br>
Despite the fact that this infrastructure has been a part of LON-CAPA since version 1.3.0 (December 2004) the number of domains using internal SSL is still a minority.<br>
<br>
Note: you could also change the settings for the PerlVars:<br>
<br>
loncAllowInsecure<br>
londAllowInsecure<br>
<br>
in /etc/httpd/conf/loncapa.conf from 1 to 0 to prevent LON-CAPA internal connections to/from the purdue servers to other LON-CAPA servers in the network, which have not yet installed LON-CAPA SSL certs.<br>
<br>
However, I do not believe any other domains have so far chosen to do that.<br>
<br>
If purdue were to do that, it would be appropriate first to give other domains in the network which are currently sharing their resources with you a chance to install internal LON-CAPA SSL keys/certs on their own servers, if they have not yet done that.<br>
<br>
Even without LON-CAPA internal SSL enabled, a number of internal LON-CAPA transactions are encrypted. To see which those are you can grep for the string: encrypt: within /home/httpd/lib/perl/Apache/<a href="http://lonnet.pm" rel="noreferrer" target="_blank">lonnet.pm</a><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Any idea how someone from Binghamton used our server despite our access<br>
nodes configured as they are?<br>
</blockquote>
<br>
If someone from the binghamton domain has a co-author role in an Authoring Space in the purdue domain then that user would be allowed to have a user session hosted on the purdue library server.  However, I think it unlikely that such a co-author role exists.<br>
<br>
So my guess would be that this may have been possible because of a discrepancy between the "internet domain" listed in the /home/httpd/lonTabs/hosts.tab file present on one of the binghamton LON-CAPA servers, and the "internet domain" retrieved for the same LON-CAPA host from the authoritative "LON-CAPA DNS" servers at MSU, UIUC, and SFU.<br>
<br>
This particular situation at binghamton was discussed on this list recently, see: <a href="http://mail.lon-capa.org/pipermail/lon-capa-admin/2015-September/003100.html" rel="noreferrer" target="_blank">http://mail.lon-capa.org/pipermail/lon-capa-admin/2015-September/003100.html</a><br>
<br>
It has been my personal experience that ever since a purdue domain coordinator modified your domain configuration this summer to deny hosting of user sessions from other domains, I have been unable to transfer my own LON-CAPA user session (msu domain) to any of the purdue servers.<br>
<br>
<br>
Stuart Raeburn<br>
LON-CAPA Academic Consortium<br>
<br>
Quoting Mike Budzik <<a href="mailto:mikeb@purdue.edu" target="_blank">mikeb@purdue.edu</a>>:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
For hosting other domains' users, we have our access nodes set to deny all<br>
except the following (and none of the following are checked).  However,<br>
today we noticed session data files in /home/httpd/perl/tmp on one of our<br>
access nodes that are named with another domain.<br>
<br>
USERNAME1_binghamton_4231791afc6bb5593binghamtona6.db<br>
USERNAME1_binghamton_4231791afc6bb5593binghamtona6.db.lock<br>
USERNAME1_binghamton_4231791afc6bb5593binghamtona6_parms.db<br>
USERNAME1_binghamton_4231791afc6bb5593binghamtona6.state<br>
USERNAME1_binghamton_4231791afc6bb5593binghamtona6_symb.db<br>
<br>
USERNAME2_binghamton_4231791afc6bb5593binghamtona6.db<br>
USERNAME2_binghamton_4231791afc6bb5593binghamtona6.db.lock<br>
USERNAME2_binghamton_4231791afc6bb5593binghamtona6_parms.db<br>
USERNAME2_binghamton_4231791afc6bb5593binghamtona6.state<br>
USERNAME2_binghamton_4231791afc6bb5593binghamtona6_symb.db<br>
<br>
In the access log I think it looks like the users posted answers to some<br>
problems.  For example:<br>
POST /res/binghamton/gonzales/Postlab/analysisOfBottledWaterV3.problem<br>
HTTP/1.1" 200 44989 "<br>
<a href="https://loncapa03.purdue.edu/res/binghamton/gonzales/Postlab/analysisOfBottledWaterV3.problem" rel="noreferrer" target="_blank">https://loncapa03.purdue.edu/res/binghamton/gonzales/Postlab/analysisOfBottledWaterV3.problem</a><br>
<br>
POST /res/binghamton/gonzales/Postlab/SimultaneousAnalysis.problem<br>
HTTP/1.1" 200 56842 "<br>
<a href="https://loncapa02.purdue.edu/res/binghamton/gonzales/Postlab/SimultaneousAnalysis.problem" rel="noreferrer" target="_blank">https://loncapa02.purdue.edu/res/binghamton/gonzales/Postlab/SimultaneousAnalysis.problem</a><br>
<br>
Any idea how someone from Binghamton used our server despite our access<br>
nodes configured as they are?<br>
<br>
Our organization is very sensitive to FERPA issues, so I'm pretty curious<br>
about it.  In this case, based on the access log I could not guess which<br>
course the user is in.  However, if the course had been named with a course<br>
number/name, that would mean I could discover some roster data which is<br>
covered by FERPA.  What if the user used our access server to view their<br>
grades?<br>
<br>
What traffic goes across the other ports that LON-CAPA uses (e.g. 5663) and<br>
is that encrypted?  Is this FERPA covered data being transmitted without<br>
encryption?<br>
<br>
Thanks,<br>
Mike B<br>
</blockquote>
<br>
_______________________________________________<br>
LON-CAPA-admin mailing list<br>
<a href="mailto:LON-CAPA-admin@mail.lon-capa.org" target="_blank">LON-CAPA-admin@mail.lon-capa.org</a><br>
<a href="http://mail.lon-capa.org/mailman/listinfo/lon-capa-admin" rel="noreferrer" target="_blank">http://mail.lon-capa.org/mailman/listinfo/lon-capa-admin</a><br>
</blockquote></div>