Вопросы Теги

SSSD - Unable to Authenticate Against Google LDAP After 20.04 Upgrade - Could not start TLS encryption. unknown error

Я пытаюсь пройти аутентификацию в Google LDAP (G Suite/Google Admin), чтобы мои клиенты могли войти в систему, используя свои учетные данные Google. У меня нет видимости на стороне LDAP, я могу только генерировать сертификат/ключ в Google Admin.

Это хорошо работало на 18.04, но после обновления до 20.04 я не могу заставить его работать. Кроме того, это работает в других дистрибутивах (Fedora) Я включил некоторые подробности ниже. Я прочитал сообщение Canonical о том, что TLS 1.X и ниже отключен в 20.04; означает ли это, что это может быть проблемой набора шифров?

Сообщение об ошибке

systemctl status sssd

● sssd.service - System Security Services Daemon Loaded: загружен (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled) Активен: активен (работает) с Mon 2021-08-02 15:38:22 EDT; 6s ago Основной PID: 3165 (sssd) Задачи: 4 (лимит: 9043) Память: 37.3M CGroup: /system.slice/sssd.service ├─3165 /usr/sbin/sssd -i --logger=files ├─3167 /usr/libexec/sssd/sssd_be --domain mydomain.com --uid 0 --gid 0 --logger=files ├─3168 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files └─3169 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files

Aug 02 15:38:21 JY2D353 systemd[1]: Starting System Security Services Daemon...

Aug 02 15:38:21 JY2D353 sssd[3165]: Starting up

Aug 02 15:38:22 JY2D353 sssd_be[3167]: Starting up

Aug 02 15:38:22 JY2D353 sssd_pam[3169]: Starting up

Aug 02 15:38:22 JY2D353 sssd_nss[3168]: Starting up

Aug 02 15:38:22 JY2D353 sssd_be[3167]: Could not start TLS encryption. unknown error

Aug 02 15:38:22 JY2D353 systemd[1]: Started System Security Services Daemon.

Последняя рабочая конфигурация

  • Ubuntu 18.04
  • SSSD 1.16.0
  • Следовал инструкциям, расположенным здесь

Я все еще могу успешно аутентифицироваться, используя эту установку.

Current Configuration

  • Ubuntu 20.04

  • SSSD 2.4.0

  • Same configuration

Logs/conf

etc/sssd.conf

sssd_mydomain.com.log

sssd.log

sssd_pam.log

sssd_nss.log

openssl s_client

0
задан 2 August 2021 в 23:03

1 ответ

Это проблема с TLS 1.3 и Google, требующими SNI, который, по-видимому, не поддерживается должным образом в Ubuntu 20. Обходной путём, который, кажется, работает для меня, является добавление в раздел домена sssd.conf:

ldap_tls_cipher_suite = NORMAL:!VERS-TLS1.3

, который принудительно TLS1.2 и удаляет проблему SNI.

0
ответ дан 20 August 2021 в 10:30

Другие вопросы по тегам:

Похожие вопросы: