Em um de nossos ambientes os servidores Linux são configurados com sssd/OpenLDAP para login no SO. Para suportar servidores mais antigos, nosso servidor OpenLDAP ainda precisa suportar TLSv1.0 e TLSv1.1.
RedHat 8 não suporta mais níveis de TLS abaixo de TLSv1.2 e, portanto, o padronizado /etc/sssd/sssd.confnão conseguiu se conectar ao servidor LDAP.
Mensagem de erro:
sssd_be[1236697]: Could not start TLS encryption. error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure
Parece (?) que o protocolo ldap - ou o servidor - prefere primeiro os protocolos TLS mais fracos e, portanto, a conexão do RHEL8 falha.
É claro que o servidor LDAP precisa remover o suporte para protocolos mais antigos, mas como o lado do cliente pode ser forçado a usar o TLSv1.2?
Responder1
Não parece haver uma opção de configuração para sssd especificamente para o nível do protocolo TLS, mas você pode adicioná-lo à configuração do conjunto de criptografia como tal.
# /etc/sssd/sssd.conf
<snip>
ldap_tls_cipher_suite = TLSv1.2!EXPORT:!NULL
<snip>
Reiniciar o sssd RHEL8 agora foi capaz de se conectar ao servidor LDAP e os usuários puderam fazer login.