Score:0

บังคับใช้ TLS1.2 ในไคลเอนต์ sssd

ธง cm

ในหนึ่งในสภาพแวดล้อมของเรา เซิร์ฟเวอร์ Linux ได้รับการตั้งค่าด้วย sssd / OpenLDAP สำหรับการเข้าสู่ระบบ OS เพื่อรองรับเซิร์ฟเวอร์รุ่นเก่า เซิร์ฟเวอร์ OpenLDAP ของเรายังคงต้องรองรับ TLSv1.0 และ TLSv1.1

RedHat 8 ไม่รองรับระดับ TLS ที่ต่ำกว่า TLSv1.2 อีกต่อไป ดังนั้นจึงเป็นมาตรฐาน /etc/sssd/sssd.conf ไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ LDAP

ข้อความผิดพลาด:

sssd_be[1236697]: ไม่สามารถเริ่มการเข้ารหัส TLS ข้อผิดพลาด: 14094410: รูทีน SSL: ssl3_read_bytes: sslv3 การจับมือกันล้มเหลว

ดูเหมือนว่า (?) ที่โปรโตคอล ldap - หรือเซิร์ฟเวอร์ - จะชอบโปรโตคอล TLS ที่อ่อนแอกว่าก่อน และทำให้การเชื่อมต่อจาก RHEL8 ล้มเหลว

แน่นอนว่าเซิร์ฟเวอร์ LDAP ต้องยกเลิกการสนับสนุนโปรโตคอลรุ่นเก่า แต่ฝั่งไคลเอ็นต์จะถูกบังคับให้ใช้ TLSv1.2 ได้อย่างไร

in flag
แทนที่จะหลีกเลี่ยงมาตรการรักษาความปลอดภัย คุณควรอัปเดตเซิร์ฟเวอร์ที่ล้าสมัยของคุณ
cm flag
ฉันไม่เห็นด้วยมากกว่านี้ แต่เป้าหมายที่นี่คือการเน้นวิธีแก้ไขฝั่งไคลเอ็นต์นี้ ปัญหาอย่างหนึ่งคือแม้แต่ RedHat ก็ "แนะนำ" ให้อนุญาตโปรโตคอล "ดั้งเดิม" บน "ไคลเอนต์" ของ RHEL8 ดังนั้นการโพสต์นี้จึงถูกสร้างขึ้นเพื่อเน้นว่าคุณสามารถบังคับ TLSv1.2 สำหรับไคลเอ็นต์ได้ในขณะที่รอให้ฝั่งเซิร์ฟเวอร์ลุกขึ้น เพื่อเพิ่มความเร็ว ในกรณีนี้ พวกเขาต้องสนับสนุนลูกค้ารุ่นเก่ารายอื่น ซึ่งเกิดขึ้นในร้านค้าขนาดใหญ่
Score:0
ธง cm

ดูเหมือนจะไม่มีตัวเลือกการกำหนดค่าสำหรับ sssd โดยเฉพาะสำหรับระดับโปรโตคอล TLS แต่คุณสามารถเพิ่มลงในการกำหนดค่าชุดการเข้ารหัสได้

# /etc/sssd/sssd.conf
<snip>
ldap_tls_cipher_suite = TLSv1.2!EXPORT:!NULL
<snip>

การรีสตาร์ท sssd RHEL8 ตอนนี้สามารถเชื่อมต่อกับเซิร์ฟเวอร์ LDAP และผู้ใช้สามารถเข้าสู่ระบบได้

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา