1

Мы сталкиваемся с проблемой в одной из наших сред openldap, в то время как разрешаем защищенные запросы через ldaps:// наша среда интеграции продолжает возвращать следующую ошибку команде out ldapsearch:

SSL3_READ_BYTES:sslv3 alert bad record mac

в то время как та же команда, указывающая на нашу производственную среду, правильно подключается и возвращает совпадающие записи. Тот же запрос к среде интеграции через порт 389 и ldap:// также работает.

Оба работают под следующими версиями:

  • Red Hat Enterprise Linux Server, выпуск 6.2 (Сантьяго)
  • OpenLDAP: slapd 2.4.23
  • OpenSSL 1.0.0-fips

Каждый из них имеет свой собственный сертификат, подписанный тем же CA.

В нашей среде интеграции:

/etc/openldap/slapd.d/cn\=config.ldif:

olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapint.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldapint.key

И в том же файле производственная среда:

olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapPRO.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldap.key

И мы можем проверить эту проблему следующим образом:

$ openssl s_client -connect localhost:636 -showcerts -CApath /etc/openldap/cert/root_CA.pem
CONNECTED(00000003)
depth=1 L = (...), OU = (...), CN = (...)
verify error:num=19:self signed certificate in certificate chain
verify return:0
139866277001032:error:140943FC:SSL routines:SSL3_READ_BYTES:sslv3 alert bad record mac:s3_pkt.c:1193:SSL alert number 20
139866277001032:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:
---

Любые идеи о том, что не так, и как настроить наш безопасный LDAPS:// для OpenLDAP?

Спасибо!

1 ответ1

0

SSL3_READ_BYTES:sslv3 предупреждение о плохой записи Mac

Судя по всему, это ошибка в OpenSSL. См. Ошибка Debian 212410 и Ошибка Debian 338006.

Вот аналогичная проблема для 1.0.0, обсуждаемая в списке рассылки OpenSSL : Ошибка OpenSSL SSL_Accept.

Была ошибка AES-NI, которая вызвала подобное сообщение, но она была обнаружена в 1.0.1c и исправлена в 1.0.1d (и это повлияло на TLS 1.1 и TLS 12) (см. Журнал CHANGE).

Я думаю, что стандартные рекомендации, вероятно, применимы: убедитесь, что вы и другая конечная точка используете последнюю версию OpenSSL.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .