如何为OpenLDAP禁用SSL V3/TLS 1.0,或者如何在ldap端口636上禁用TLS 1.0支持?
根据本文尝试了以下内容: 放置tls.ldif配置文件,其中包含以下配置说明:如何为OpenLDAP禁用SSL V3/TLS 1.0,或者如何在ldap端口636上禁用TLS 1.0支持?,ssl,openldap,tls1.2,Ssl,Openldap,Tls1.2,根据本文尝试了以下内容: 放置tls.ldif配置文件,其中包含以下配置说明: dn: cn=config changetype: modify replace: olcTLSProtocolMin olcTLSProtocolMin: 3.2 TLS 1.0仍显示为端口636已启用。我需要启用对tls 1.1及更高版本的支持。上面的url为RHEL 7提供了解决方案,但我正在使用RHEL 6,这可能是该解决方案不适用于我的原因。此答案适用于Red Hat Identity Manager(也
dn: cn=config
changetype: modify
replace: olcTLSProtocolMin
olcTLSProtocolMin: 3.2
TLS 1.0仍显示为端口636已启用。我需要启用对tls 1.1及更高版本的支持。上面的url为RHEL 7提供了解决方案,但我正在使用RHEL 6,这可能是该解决方案不适用于我的原因。此答案适用于Red Hat Identity Manager(也可能适用于FreeIPA) 要为Directory Server组件设置TLS的最低版本,请执行以下操作:
systemctl Stopdirsrv@YOUR-域服务
sslVersionMin:TLS1.2
在文件/etc/dirsrv/slapd YOURDOMAIN COM/dse.ldif
systemctl Startdirsrv@YOURDOMAIN-COM.service
nmap --script ssl-enum-ciphers -p636 localhost
输出应仅显示高于您在dse.ldif文件中指定的TLS版本:
$ nmap --script ssl-enum-ciphers -p636 localhost
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-13 12:03 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000070s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT STATE SERVICE
636/tcp open ldapssl
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
| compressors:
| NULL
|_ least strength: strong
Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds
请记住,此更改需要在运行dirsrv服务的所有服务器上执行。这不仅仅是“放置”文件。您必须将其馈送到
ldapmodify
,是的,执行了以下操作:ldapmodify-h host-D cn=admin,cn=config-W-f./tls.ldif,然后重新启动slapd服务。仍然可以看到TLS 1.0为端口636启用。