按照这篇文章尝试了以下方法。https:/access.redhat.comarticles1474813
将tls.ldif配置文件放入以下配置说明中。
dn: cn=config
changetype: modify
replace: olcTLSProtocolMin
olcTLSProtocolMin: 3.2
TLS 1.0仍然显示为636端口的启用状态. 我需要启用对TLS 1.1及以上端口的支持。上面的网址提供了RHEL 7的解决方案,但我使用的是RHEL 6,也许这就是为什么这个解决方案对我无效的原因。
这个答案适用于Red Hat Identity Manager(也可能适用于FreeIPA)。
要为目录服务器组件设置一个最低版本的 TLS,请执行以下操作。
停止 dirsrv 服务。systemctl stop [email protected]
确保:sslVersionMin: TLS1.2
是在文件中设置的 /etc/dirsrv/slapd-YOURDOMAIN-COM/dse.ldif
再次启动dirsrv服务。systemctl start [email protected]
要检查所提供的TLS版本 你可以使用nmap的ssl-enum-ciphers脚本,就像这样。
nmap --script ssl-enum-ciphers -p636 localhost
输出应该只显示比你在dse.ldif文件中指定的版本更高的TLS版本。
$ nmap --script ssl-enum-ciphers -p636 localhost
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-13 12:03 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000070s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT STATE SERVICE
636/tcp open ldapssl
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
| compressors:
| NULL
|_ least strength: strong
Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds
请记住,这个改变需要在所有运行dirsrv服务的服务器上进行。