私のRedHat 8.4サーバーでADにサインアップした後にsssdプロセスを開始すると、次のエラーメッセージが表示されます。
sssd[be[XXX.XXX.XXX]][23324]: Could not start TLS encryption. error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (EE certificate key too weak)
SSD構成ファイルは次のとおりです。
domains = XXX.XXX.XXX
config_file_version = 2
services = nss, pam
[domain/XXX.XXX.XXX]
ad_enable_gc = False
ad_use_ldaps = True
dns_resolver_timeout = 15 .
ldap_network_timeout = 15
ad_domain = XXX.XXX.XXX
dyndns_update = false
krb5_realm = XXX.XXX.XXX
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = simple
debug_level = 2
[nss]
#debug_level = 9
[pam]
#debug_level = 9
このエラーメッセージを消去するには?
ありがとう
答え1
お使いのシステムは、基本的に、またはポリシーを通じて特定のレベルのTLSセキュリティを必要とするように構成されています。通常、このセキュリティレベルは112ビットまたは128ビットです。このメッセージは、リモートサーバーの証明書が弱すぎてキーが大きいことを意味します(112ビットセキュリティレベルでは2048ビット、128ビットセキュリティレベルでは3072ビット)。
このメッセージは、プロキシまたは一部のタイプのTLSミドルボックスを使用している場合にも表示されることがあります。対応するキーが小さすぎる可能性があるためです。
通常、接続するサーバーが256ビット以上のECDSAキーまたは3072ビット以上のRSAキーを使用していることを確認して、この問題を解決する必要があります。どちらも、現在許可されている最低セキュリティレベルである128ビットセキュリティレベルを提供します。
問題がTLSミドルボックスの場合は、それをネットワークから削除する必要があります。これには、セキュリティの脆弱性を引き起こし、あらゆる種類のソフトウェアを破損する可能性があるバグが含まれることがよくあります。
セキュリティ設定を回避できない場合にのみ変更する必要があります。このServerFaultの回答で説明されています。。