
openldap 환경 중 하나에서 문제가 발생했습니다. ldaps://를 통해 보안 쿼리를 활성화하는 동안 통합 환경이 out ldapsearch 명령에 다음 오류를 계속 반환합니다.
SSL3_READ_BYTES:sslv3 alert bad record mac
프로덕션 환경을 가리키는 동일한 명령이 올바르게 연결되고 일치하는 항목을 반환합니다. 포트 389 및 ldap://를 통한 통합 환경에 대한 동일한 쿼리도 작동합니다.
둘 다 다음 버전에서 실행됩니다.
- Red Hat Enterprise Linux Server 릴리스 6.2(산티아고)
- OpenLDAP: slapd 2.4.23
- OpenSSL 1.0.0-fips
각 인증서에는 동일한 CA가 서명한 자체 인증서가 있습니다.
통합 환경에서:
/etc/openldap/slapd.d/cn\=config.ldif :
olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapint.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldapint.key
그리고 동일한 파일에서 프로덕션 환경은 다음과 같습니다.
olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapPRO.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldap.key
그리고 우리는 다음을 수행하여 이 문제를 확인할 수 있습니다:
$ openssl s_client -connect localhost:636 -showcerts -CApath /etc/openldap/cert/root_CA.pem
CONNECTED(00000003)
depth=1 L = (...), OU = (...), CN = (...)
verify error:num=19:self signed certificate in certificate chain
verify return:0
139866277001032:error:140943FC:SSL routines:SSL3_READ_BYTES:sslv3 alert bad record mac:s3_pkt.c:1193:SSL alert number 20
139866277001032:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:
---
무엇이 잘못되었는지, 그리고 OpenLDAP에 대해 보안 LDAPS://를 구성하는 방법에 대한 아이디어가 있습니까?
감사해요!
답변1
SSL3_READ_BYTES:sslv3 잘못된 기록 경고 mac
듣기로는 OpenSSL의 버그인 것 같습니다. 보다데비안 버그 212410그리고데비안 버그 338006.
다음은 OpenSSL 메일링 리스트에서 논의되고 있는 1.0.0에 대한 유사한 문제입니다:OpenSSL SSL_Accept 오류.
유사한 메시지를 생성하는 AES-NI 버그가 있었지만 1.0.1c에서 발견되어 1.0.1d에서 수정되었습니다(TLS 1.1 및 TLS 12에 영향을 미쳤습니다).변경 로그).
아마도 표준 권장 사항이 적용될 것이라고 생각합니다. 귀하와 다른 엔드포인트가 최신 OpenSSL을 사용하고 있는지 확인하세요.