Fatal编程技术网
  • ssl/
  • 如何为OpenLDAP禁用SSL V3/TLS 1.0,或者如何在ldap端口636上禁用TLS 1.0支持?

如何为OpenLDAP禁用SSL V3/TLS 1.0,或者如何在ldap端口636上禁用TLS 1.0支持?

ssl

如何为OpenLDAP禁用SSL V3/TLS 1.0,或者如何在ldap端口636上禁用TLS 1.0支持?,ssl,openldap,tls1.2,Ssl,Openldap,Tls1.2,根据本文尝试了以下内容: 放置tls.ldif配置文件,其中包含以下配置说明: dn: cn=config changetype: modify replace: olcTLSProtocolMin olcTLSProtocolMin: 3.2 TLS 1.0仍显示为端口636已启用。我需要启用对tls 1.1及更高版本的支持。上面的url为RHEL 7提供了解决方案,但我正在使用RHEL 6,这可能是该解决方案不适用于我的原因。此答案适用于Red Hat Identity Manager(也

根据本文尝试了以下内容:

放置tls.ldif配置文件,其中包含以下配置说明:

dn: cn=config
changetype: modify
replace: olcTLSProtocolMin
olcTLSProtocolMin: 3.2
TLS 1.0仍显示为端口636已启用。我需要启用对tls 1.1及更高版本的支持。上面的url为RHEL 7提供了解决方案,但我正在使用RHEL 6,这可能是该解决方案不适用于我的原因。

此答案适用于Red Hat Identity Manager(也可能适用于FreeIPA)

要为Directory Server组件设置TLS的最低版本,请执行以下操作:

  • 停止dirsrv服务:
    systemctl Stopdirsrv@YOUR-域服务

  • 确保:
    sslVersionMin:TLS1.2
    在文件
    /etc/dirsrv/slapd YOURDOMAIN COM/dse.ldif

  • 再次启动dirsrv服务:
    systemctl Startdirsrv@YOURDOMAIN-COM.service

    • 要检查提供的TLS版本,您可以使用nmap的ssl enum密码脚本,如下所示:

    nmap --script ssl-enum-ciphers -p636 localhost
    输出应仅显示高于您在dse.ldif文件中指定的TLS版本:

    $ nmap --script ssl-enum-ciphers -p636 localhost
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-13 12:03 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000070s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT    STATE SERVICE
636/tcp open  ldapssl
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|     compressors:
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds
    请记住,此更改需要在运行dirsrv服务的所有服务器上执行。

    这不仅仅是“放置”文件。您必须将其馈送到
    ldapmodify
    ,是的,执行了以下操作:ldapmodify-h host-D cn=admin,cn=config-W-f./tls.ldif,然后重新启动slapd服务。仍然可以看到TLS 1.0为端口636启用。