Рейтинг:0

Принудительно использовать TLS1.2 в клиенте sssd

флаг cm

В одной из наших сред серверы Linux настроены с использованием sssd/OpenLDAP для входа в ОС. Для поддержки старых серверов наш сервер OpenLDAP должен по-прежнему поддерживать TLSv1.0 и TLSv1.1.

RedHat 8 больше не поддерживает уровни TLS ниже TLSv1.2, поэтому стандартизированный /etc/sssd/sssd.conf не удалось подключиться к серверу LDAP.

Сообщение об ошибке:

sssd_be[1236697]: не удалось запустить шифрование TLS. ошибка: 14094410: подпрограммы SSL: ssl3_read_bytes: ошибка рукопожатия предупреждения sslv3

Кажется (?), что протокол ldap - или сервер - сначала предпочитает более слабые протоколы TLS, и, таким образом, соединение с RHEL8 не удается.

Конечно, сервер LDAP должен отказаться от поддержки старых протоколов, но как заставить клиентскую сторону использовать TLSv1.2.

флаг in
Вместо того, чтобы обходить меры безопасности, вы должны обновить свои устаревшие серверы.
флаг cm
Я не мог не согласиться, но цель здесь состояла в том, чтобы выделить, как исправить эту клиентскую часть. Одна из проблем заключалась в том, что даже RedHat «советовал» разрешить «устаревшие» протоколы на «клиентах» RHEL8, поэтому эта публикация была сделана для того, чтобы подчеркнуть, что вы можете принудительно использовать TLSv1.2 для клиентов, пока вы ждете, пока серверная сторона встанет. разгоняться, набирать скорость. В этом случае им приходится поддерживать других старых клиентов, что происходит в более крупных магазинах.
Рейтинг:0
флаг cm

Кажется, не существует параметра конфигурации sssd специально для уровня протокола TLS, но вы можете добавить его в конфигурацию набора шифров как таковую.

# /etc/sssd/sssd.conf
<фрагмент>
ldap_tls_cipher_suite = TLSv1.2!EXPORT:!NULL
<фрагмент>

Перезапуск sssd Теперь RHEL8 может подключаться к LDAP-серверу, и пользователи могут входить в систему.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.