Thực thi TLS1.2 trong máy khách sssd

sastorsl

14:51, 31/05/2023

Trong một trong các môi trường của chúng tôi, máy chủ Linux được thiết lập với sssd/OpenLDAP để đăng nhập hệ điều hành. Để hỗ trợ các máy chủ cũ hơn, máy chủ OpenLDAP của chúng tôi vẫn phải hỗ trợ TLSv1.0 và TLSv1.1.

RedHat 8 không còn hỗ trợ các mức TLS dưới TLSv1.2, và do đó, tiêu chuẩn hóa /etc/sssd/sssd.conf không kết nối được với máy chủ LDAP.

Thông báo lỗi:

sssd_be[1236697]: Không thể bắt đầu mã hóa TLS. lỗi: 14094410: Quy trình SSL: ssl3_read_bytes: lỗi bắt tay cảnh báo sslv3

Có vẻ như (?) Giao thức ldap - hoặc máy chủ - ưu tiên các giao thức TLS yếu hơn trước và do đó kết nối từ RHEL8 không thành công.

Tất nhiên máy chủ LDAP phải loại bỏ hỗ trợ cho các giao thức cũ hơn, nhưng làm sao phía máy khách có thể buộc phải sử dụng TLSv1.2.

0 + 0

Mũ đỏ

phản chiếu

sssd

rhel8

Gerald Schneider

15:07, 31/05/2023

Thay vì phá vỡ các biện pháp bảo mật, bạn nên cập nhật các máy chủ lỗi thời của mình.

Hồi đáp

sastorsl

07:57, 01/06/2023

Tôi không thể đồng ý hơn, nhưng mục tiêu ở đây là làm nổi bật cách khắc phục vấn đề này. Một trong những vấn đề là ngay cả RedHat cũng "khuyên" cho phép các giao thức "cũ" trên các "máy khách" RHEL8, vì vậy bài đăng này được thực hiện để nhấn mạnh rằng bạn có thể buộc TLSv1.2 cho các máy khách trong khi chờ phía máy chủ khởi động đến tốc độ. Trong trường hợp này, họ phải hỗ trợ các khách hàng kế thừa khác, điều này xảy ra ở các cửa hàng lớn hơn.

Hồi đáp

Điểm:0

Server

sastorsl

14:51, 31/05/2023

Dường như không có tùy chọn cấu hình cho sssd dành riêng cho cấp giao thức TLS, nhưng bạn có thể thêm nó vào cấu hình bộ mật mã như vậy.

# /etc/sssd/sssd.conf
<cắt>
ldap_tls_cipher_suite = TLSv1.2!EXPORT:!NULL
<cắt>

Khởi động lại sssd RHEL8 hiện có thể kết nối với máy chủ LDAP và người dùng có thể đăng nhập.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Enforce TLS1.2 in sssd client

TH: บังคับใช้ TLS1.2 ในไคลเอนต์ sssd

RO: Aplicați TLS1.2 în clientul sssd

RU: Принудительно использовать TLS1.2 в клиенте sssd

VI: Thực thi TLS1.2 trong máy khách sssd

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.