우리 환경 중 하나에서는 Linux 서버가 OS 로그인을 위해 sssd/OpenLDAP로 설정되어 있습니다. 이전 서버를 지원하려면 OpenLDAP 서버가 TLSv1.0 및 TLSv1.1을 계속 지원해야 합니다.
RedHat 8은 더 이상 TLSv1.2 이하의 TLS 수준을 지원하지 않으므로 표준화된 /etc/sssd/sssd.confLDAP 서버에 연결하지 못했습니다.
에러 메시지:
sssd_be[1236697]: Could not start TLS encryption. error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure
LDAP 프로토콜(또는 서버)이 약한 TLS 프로토콜을 먼저 선호하므로 RHEL8에서의 연결이 실패하는 것 같습니다(?).
물론 LDAP 서버는 이전 프로토콜에 대한 지원을 제거해야 하지만 어떻게 클라이언트 측에서 TLSv1.2를 사용하도록 강제할 수 있습니까?
답변1
특별히 TLS 프로토콜 수준을 위한 sssd 구성 옵션은 없는 것 같지만 암호화 제품군 구성에 추가할 수 있습니다.
# /etc/sssd/sssd.conf
<snip>
ldap_tls_cipher_suite = TLSv1.2!EXPORT:!NULL
<snip>
sssd를 다시 시작하면 RHEL8이 이제 LDAP 서버에 연결할 수 있고 사용자는 로그인할 수 있습니다.