12
Common Name (CN) in String suchen und ausgeben
Hallo,
ein Bisschen Hintergrundwissen (für die eigentliche Frage nicht unbedingt notwendig):
Ich betreibe OpenVPN auf einem Router mit DD-Wrt-Firmware und möchte die "tls-verify"-Option nutzen, um festzulegen mit welchen Zertifikaten ein Zugriff möglich ist. Hierzu werden von OpenVPN Zertifikatsinformationen an ein Skript übergeben, welches überprüft, ob der Client Zugriff bekommt oder nicht. Die Entscheidung ja/nein wird OpenVPN dann per Return-Code mitgeteilt.
Im Netz habe ich bereits ein Shell-Skript gefunden, so wie ich mir das vorstelle: http://robert.penz.name/21/ovpncncheck-an-openvpn-tls-verify-script/
Leider passt die Regular Expression bei mir nicht.
Übergeben werden Zertifikatsinformationen, die etwa so aussehen:
C=DE, ST=North Rine-Westphalia, L=Stadt, O=Martin Muster, OU=IT, CN=Max Muster, emailAddress=max@muster.com
Für eine Überprüfung wird nur der Common Name (also alles zwischen "CN=" und ",emailAddress=....") benötigt.
Wie erhalte ich den Wert des CN? Ich habe schon ein paar Stunden probiert, bin aber noch nicht zum Ziel gekommen. Bisher habe ich folgende RegEx, bei der zumindest die Mailadresse nicht mehr mit ausgegeben wird: '.*CN=([^,]*)'
Aufgrund der Betriebsumgebung kann nur mit der Linux-Shell und Standard-Tools wie grep gearbeitet werden, Python oder ähnliches steht nicht zur Verfügung.
Gruß
PSaR04
ein Bisschen Hintergrundwissen (für die eigentliche Frage nicht unbedingt notwendig):
Ich betreibe OpenVPN auf einem Router mit DD-Wrt-Firmware und möchte die "tls-verify"-Option nutzen, um festzulegen mit welchen Zertifikaten ein Zugriff möglich ist. Hierzu werden von OpenVPN Zertifikatsinformationen an ein Skript übergeben, welches überprüft, ob der Client Zugriff bekommt oder nicht. Die Entscheidung ja/nein wird OpenVPN dann per Return-Code mitgeteilt.
Im Netz habe ich bereits ein Shell-Skript gefunden, so wie ich mir das vorstelle: http://robert.penz.name/21/ovpncncheck-an-openvpn-tls-verify-script/
Leider passt die Regular Expression bei mir nicht.
Übergeben werden Zertifikatsinformationen, die etwa so aussehen:
C=DE, ST=North Rine-Westphalia, L=Stadt, O=Martin Muster, OU=IT, CN=Max Muster, emailAddress=max@muster.com
Für eine Überprüfung wird nur der Common Name (also alles zwischen "CN=" und ",emailAddress=....") benötigt.
Wie erhalte ich den Wert des CN? Ich habe schon ein paar Stunden probiert, bin aber noch nicht zum Ziel gekommen. Bisher habe ich folgende RegEx, bei der zumindest die Mailadresse nicht mehr mit ausgegeben wird: '.*CN=([^,]*)'
Aufgrund der Betriebsumgebung kann nur mit der Linux-Shell und Standard-Tools wie grep gearbeitet werden, Python oder ähnliches steht nicht zur Verfügung.
Gruß
PSaR04
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 218694
Url: https://administrator.de/contentid/218694
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
12 Kommentare
Neuester Kommentar
Hi, ich hab kein Python am Laufen, aber mit
lg.
sed geht das:.*CN=([^,]*).*
Hi,
danke für den Tipp. Ich habe jetzt mal folgendes gemacht:
echo $t | sed '.*CN=([^,]*).*'Aber dann wird gar nichts ausgegeben. In $t steckt übrigens der übergebene String.
Hi, der geklammerte Teil vom String muss ja wieder in den replace pattern:
Getestet mit GNU sed.
lg.
echo $t | sed -r 's/.*CN=([^,]*).*/\1/' lg.
1Zitat von @Endoro:
Hi, der geklammerte Teil vom String muss ja wieder in den replace pattern:
Getestet mit GNU sed.
lg.
Hi, der geklammerte Teil vom String muss ja wieder in den replace pattern:
> echo $t | sed -r 's/.*CN=([^,]*).*/\1/'
> lg.
Perfekt, so läufts!
Vielen, vielen Dank. Da habe ich jetzt schon ewig dran gesessen...
Bekommt man es auch noch hin, dass der vollständige CN ausgegeben wird, wenn ein Komma darin steckt? Z. B. folgendem String:
C=DE, ST=North Rine-Westphalia, L=Stadt, O=Martin Muster, OU=IT, CN=Muster, Max, emailAddress=max@muster.com
Ich hätte gedacht, die RegEx noch ein Bisschen zu erweitern, z. B. so:
Mir wird dann aber nur "Muster, " ausgegeben, der Rest fehlt.
C=DE, ST=North Rine-Westphalia, L=Stadt, O=Martin Muster, OU=IT, CN=Muster, Max, emailAddress=max@muster.com
Ich hätte gedacht, die RegEx noch ein Bisschen zu erweitern, z. B. so:
echo $t | sed -r 's/.*CN=(([^a-z]+[^A-Z]+[^=])*).*/\1/'Mir wird dann aber nur "Muster, " ausgegeben, der Rest fehlt.
Hi, wenn in den Daten neue Muster auftauchen, muss Regex halt angepasst werden.
ZB so:
Vor allem da das Komma ja ein wichtiger Anker im vorherigen Regex war.
Und hier auch wieder ist. Es ginge deshalb auch so, was mir fast noch besser gefällt:
Das geht davon aus, dass CN immer zwei Wörter sind.
lg.
ZB so:
| sed -r 's/.*CN=(.*),\s?email.*/\1/' Und hier auch wieder ist. Es ginge deshalb auch so, was mir fast noch besser gefällt:
| sed -r 's/.*CN=([[:alnum:]]+,?\s[[:alnum:]]+),?\s.*/\1/' lg.
Zitat von @Endoro:
Hi, wenn in den Daten neue Muster auftauchen, muss Regex halt angepasst werden.
ZB so:
Vor allem da das Komma ja ein wichtiger Anker im vorherigen Regex war.
Und hier auch wieder ist. Es ginge deshalb auch so, was mir fast noch besser gefällt:
Das geht davon aus, dass CN immer zwei Wörter sind.
lg.
Hi, wenn in den Daten neue Muster auftauchen, muss Regex halt angepasst werden.
ZB so:
| sed -r 's/.*CN=(.*),\s?email.*/\1/' Und hier auch wieder ist. Es ginge deshalb auch so, was mir fast noch besser gefällt:
| sed -r 's/.*CN=([[:alnum:]]+,?\s[[:alnum:]]+),?\s.*/\1/' lg.
Danke dafür, aber leider wird bei beiden der komplette String ausgegeben..
Hi, welche
lg.
sed Version verwendest du?GNU sed version 4.2.1
Folgendes wird mir nach Eingabe von "sed --version" angezeigt: This is not GNU sed version 4.0
Ist ja witzig 
Hier noch ein Vorschlag. Nicht
oder mit POSIX-Klassen:
lg.
Hier noch ein Vorschlag. Nicht
-r vergessen und statt -r auch mal -E testen.|sed -r 's/.*CN=(\S+\s\w+),.+/\1/' oder mit POSIX-Klassen:
| sed -E 's/.*CN=([^[:space:]]+[[:space:]][[:alpha:]]+),.+/\1/' Zitat von @Endoro:
Ist ja witzig
Hier noch ein Vorschlag. Nicht
oder mit POSIX-Klassen:
lg.
Ist ja witzig
Hier noch ein Vorschlag. Nicht
-r vergessen und statt -r auch mal -E testen.> |sed -r 's/.*CN=(\S+\s\w+),.+/\1/'
> oder mit POSIX-Klassen:
> | sed -E 's/.*CN=([^[:space:]]+[[:space:]][[:alpha:]]+),.+/\1/'
> Beim 1. Vorschlag wird wieder der komplette String ausgegeben. Beim 2. hat er dann das
-E mit "Invalid Option" angemeckert. Dann habe ich den 2. noch mit -r ausprobiert und....oh Wunder auf einmal klappte es.Leider war die erste Freude schnell wieder ein kleines Bisschen getrübt, wenn nämlich mehrere Kommas im CN vorkamen, wurde immer nur der Text bis zum 2. Komma ausgegeben
Also musste ich erstmal deine Idee etwas interpretieren, da mir nicht gleich alles auf Anhieb klar war. Das Zuvor beschriebene Problem konnte ich dann lösen, indem ich ":alpha:" gegen ":print:" getauscht und das ganze Konstrukt, da es ja mehrfach vorkommen kann in Klammern gepackt und mit
+ ergänzt habe. Nur blöd, wenn der CN dann nur aus einem einzelnen Wort besteht, also mittels "|" noch eine weitere Möglichkeit angegeben.Rausgekommen ist dabei folgendes:
echo $t | sed -r 's/.*CN=([^[:space:]]+([[:space:]][[:print:]]+)+|([[:print:]])+),.+/\1/'Besonderer Dank geht nochmal an Endoro.
Hi,
wenn du häufiger mit
Hier noch ein abschliessender Vorschlag, der alle Leerzeichen und Kommas zwischen den Namen erhält und auch mit einem Namen klar kommt:
lg.
wenn du häufiger mit
sed arbeitest, solltest du dir eine aktuelle GNU-Version besorgen. Vielleicht ist die auch schon installiert und wird nur nicht benutzt.Hier noch ein abschliessender Vorschlag, der alle Leerzeichen und Kommas zwischen den Namen erhält und auch mit einem Namen klar kommt:
|sed -r 's/.*CN=([^[:space:]]+[[:space:],]*[^[:space:],]*),+.+/\1/' 
