Принудительно использовать TLS1.2 в клиенте sssd

sastorsl

31.05.2023, 14:51

В одной из наших сред серверы Linux настроены с использованием sssd/OpenLDAP для входа в ОС. Для поддержки старых серверов наш сервер OpenLDAP должен по-прежнему поддерживать TLSv1.0 и TLSv1.1.

RedHat 8 больше не поддерживает уровни TLS ниже TLSv1.2, поэтому стандартизированный /etc/sssd/sssd.conf не удалось подключиться к серверу LDAP.

Сообщение об ошибке:

sssd_be[1236697]: не удалось запустить шифрование TLS. ошибка: 14094410: подпрограммы SSL: ssl3_read_bytes: ошибка рукопожатия предупреждения sslv3

Кажется (?), что протокол ldap - или сервер - сначала предпочитает более слабые протоколы TLS, и, таким образом, соединение с RHEL8 не удается.

Конечно, сервер LDAP должен отказаться от поддержки старых протоколов, но как заставить клиентскую сторону использовать TLSv1.2.

0 + 0

Красная шляпа

зеркальное отображение

твердотельный накопитель

рхел8

Gerald Schneider

31.05.2023, 15:07

Вместо того, чтобы обходить меры безопасности, вы должны обновить свои устаревшие серверы.

Ответить

sastorsl

01.06.2023, 07:57

Я не мог не согласиться, но цель здесь состояла в том, чтобы выделить, как исправить эту клиентскую часть. Одна из проблем заключалась в том, что даже RedHat «советовал» разрешить «устаревшие» протоколы на «клиентах» RHEL8, поэтому эта публикация была сделана для того, чтобы подчеркнуть, что вы можете принудительно использовать TLSv1.2 для клиентов, пока вы ждете, пока серверная сторона встанет. разгоняться, набирать скорость. В этом случае им приходится поддерживать других старых клиентов, что происходит в более крупных магазинах.

Ответить

Рейтинг:0

Server

sastorsl

31.05.2023, 14:51

Кажется, не существует параметра конфигурации sssd специально для уровня протокола TLS, но вы можете добавить его в конфигурацию набора шифров как таковую.

# /etc/sssd/sssd.conf
<фрагмент>
ldap_tls_cipher_suite = TLSv1.2!EXPORT:!NULL
<фрагмент>

Перезапуск sssd Теперь RHEL8 может подключаться к LDAP-серверу, и пользователи могут входить в систему.

0 + 0

Admin

Этот вопрос на других языках:

EN: Enforce TLS1.2 in sssd client

TH: บังคับใช้ TLS1.2 ในไคลเอนต์ sssd

RO: Aplicați TLS1.2 în clientul sssd

RU: Принудительно использовать TLS1.2 в клиенте sssd

VI: Thực thi TLS1.2 trong máy khách sssd

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.