如何为OpenLDAP禁用SSL 3/TLS1.0，或者如何在ldap端口636上禁用TLS1.0支持？

Question

如本文所示，尝试了以下操作，https://access.redhat.com/articles/1474813

将tls.ldif配置文件放在下面的配置说明中：

dn: cn=config
changetype: modify
replace: olcTLSProtocolMin
olcTLSProtocolMin: 3.2

TLS 1.0仍然显示为端口636启用。我需要启用对tls 1.1及更高版本的支持。上面的url为RHEL 7提供了解决方案，但是我使用的是RHEL 6，也许这就是为什么这个解决方案不适合我。

Answer 1

这个答案适用于红帽标识管理器(可能还包括FreeIPA)。

若要为Directory组件设置最低版本的TLS，请执行以下操作：

1. 停止dirsrv服务：systemctl stop dirsrv@YOUR-DOMAIN.service
2. 确保：sslVersionMin: TLS1.2设置在/etc/dirsrv/slapd-YOURDOMAIN-COM/dse.ldif文件中
3. 再次启动dirsrv服务：systemctl start dirsrv@YOURDOMAIN-COM.service

要检查提供的TLS版本，可以为nmap使用ssl-enum-ciphers脚本，如下所示：

nmap --script ssl-enum-ciphers -p636 localhost

输出应该只显示高于您在dse.ldif文件中指定的TLS版本：

$ nmap --script ssl-enum-ciphers -p636 localhost
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-13 12:03 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000070s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT    STATE SERVICE
636/tcp open  ldapssl
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|     compressors:
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds

请记住，此更改需要在dirsrv服务运行的所有服务器上完成。