根据本文https://access.redhat.com/articles/1474813
尝试以下操作将tls.ldif配置文件放在其中的以下配置说明中:
dn: cn=config
changetype: modify
replace: olcTLSProtocolMin
olcTLSProtocolMin: 3.2
TLS 1.0仍然显示为端口636启用。我需要启用对tls 1.1及更高版本的支持。上面的url为RHEL 7提供了解决方案,但我使用的是RHEL 6,这可能就是为什么这个解决方案对我无效的原因。
答案 0 :(得分:0)
此答案适用于Red Hat Identity Manager(可能还适用于FreeIPA)。
要为Directory Server组件设置最低版本的TLS,请执行以下操作:
停止dirsrv服务:systemctl stop dirsrv@YOUR-DOMAIN.service
确保:sslVersionMin: TLS1.2
已在文件/etc/dirsrv/slapd-YOURDOMAIN-COM/dse.ldif
再次启动dirsrv服务:systemctl start dirsrv@YOURDOMAIN-COM.service
要检查提供的TLS版本,可以使用ssl-enum-ciphers脚本进行nmap,如下所示:
nmap --script ssl-enum-ciphers -p636 localhost
输出仅显示TLS版本高于dse.ldif文件中指定的版本:
$ nmap --script ssl-enum-ciphers -p636 localhost
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-13 12:03 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000070s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT STATE SERVICE
636/tcp open ldapssl
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
| compressors:
| NULL
|_ least strength: strong
Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds
请记住,此更改需要在运行dirsrv服务的所有服务器上进行。