🔐

389 Directory Server で TLS1.0 TLS1.1を有効化する

2025/01/21に公開

はじめに

RHEL9.x系の389 Directory ServerでTLS1.0 TLS1.1を有効化した際のメモ
レガシーなセキュリティプロトコルを実装するLDAPクライアントへの対応。
本来は、クライアント側のアップデートを検討すべきであるが、諸事情で対応が難しい場合の回避策(非推奨)となる。

OS全体の暗号化ポリシーを変更

ポリシーモジュールファイルの作成

bash
sudo cat <<EOF>/usr/share/crypto-policies/policies/modules/TLS1.x.pmod
protocol@TLS = TLS1.0 TLS1.1 TLS1.3 TLS1.2 DTLS1.2
EOF

システム全体の暗号化ポリシーレベル DEFAULT に適用

bash
sudo update-crypto-policies --set LEGACY:TLS1

システム再起動

bash
sudo reboot

389 Directory Server の 暗号化ポリシー変更

許可される TLS の最小バージョンを設定

bash
sudo dsconf 389ds -D "<管理者DN>" security set --tls-protocol-min="TLS1.0"

サービス再起動

bash
sudo systemctl restart dirsrv@389ds

設定確認

bash
sudo dsconf 389ds -D "<管理者DN>" security get
:
sslversionmin: TLS1.0
:

Discussion