Я пытаюсь пройти аутентификацию в Google LDAP (G Suite/Google Admin), чтобы мои клиенты могли войти в систему, используя свои учетные данные Google. У меня нет видимости на стороне LDAP, я могу только генерировать сертификат/ключ в Google Admin.
Это хорошо работало на 18.04, но после обновления до 20.04 я не могу заставить его работать. Кроме того, это работает в других дистрибутивах (Fedora) Я включил некоторые подробности ниже. Я прочитал сообщение Canonical о том, что TLS 1.X и ниже отключен в 20.04; означает ли это, что это может быть проблемой набора шифров?
Сообщение об ошибке
● sssd.service - System Security Services Daemon Loaded: загружен (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled) Активен: активен (работает) с Mon 2021-08-02 15:38:22 EDT; 6s ago Основной PID: 3165 (sssd) Задачи: 4 (лимит: 9043) Память: 37.3M CGroup: /system.slice/sssd.service ├─3165 /usr/sbin/sssd -i --logger=files ├─3167 /usr/libexec/sssd/sssd_be --domain mydomain.com --uid 0 --gid 0 --logger=files ├─3168 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files └─3169 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files
Aug 02 15:38:21 JY2D353 systemd[1]: Starting System Security Services Daemon...
Aug 02 15:38:21 JY2D353 sssd[3165]: Starting up
Aug 02 15:38:22 JY2D353 sssd_be[3167]: Starting up
Aug 02 15:38:22 JY2D353 sssd_pam[3169]: Starting up
Aug 02 15:38:22 JY2D353 sssd_nss[3168]: Starting up
Aug 02 15:38:22 JY2D353 sssd_be[3167]: Could not start TLS encryption. unknown error
Aug 02 15:38:22 JY2D353 systemd[1]: Started System Security Services Daemon.
Последняя рабочая конфигурация
Я все еще могу успешно аутентифицироваться, используя эту установку.
Current Configuration
Ubuntu 20.04
SSSD 2.4.0
Same configuration
Logs/conf
Это проблема с TLS 1.3 и Google, требующими SNI, который, по-видимому, не поддерживается должным образом в Ubuntu 20. Обходной путём, который, кажется, работает для меня, является добавление в раздел домена sssd.conf
:
ldap_tls_cipher_suite = NORMAL:!VERS-TLS1.3
, который принудительно TLS1.2 и удаляет проблему SNI.