Red Hat Summit1.4. Directory Server에서 지원하는 암호 목록 업데이트
암호화된 연결을 설정하려면 Directory Server와 클라이언트 모두 하나 이상의 공통 암호가 필요합니다. 예를 들어 레거시 애플리케이션에 Directory Server에서 기본적으로 활성화되어 있지 않은 암호가 필요한 경우 이를 활성화할 수 있습니다.
1.4.1. 기본 암호와 사용 가능한 암호 간의 차이점
구성에 개별 암호를 나열하는 대신 nsSSL3Ciphers 매개변수에서 다음 키워드 중 하나를 사용할 수 있습니다.
Default:NSS(네트워크 보안 서비스)에서 활성화된 기본 암호를 나타냅니다. 목록을 표시하려면 다음을 입력합니다./usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"
# /usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"Copy to Clipboard Copied! Toggle word wrap Toggle overflow default키워드는nsSSL3Ciphers매개변수의 기본값입니다.모두Directory Server에서 지원되는 모든 암호를 나타냅니다. 목록을 표시하려면 다음을 입력합니다.dsconf <instance_name> security ciphers list --supported
# dsconf <instance_name> security ciphers list --supportedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 암호만 활성화하려면
all키워드를 사용합니다. 예를 들어nsSSL3Ciphers를-all,+TLS_ECDSA_WITH_AES_256_GCM_SHA384로 설정하면 모든 암호를 비활성화하고TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384만 활성화되도록 Directory Server를 구성합니다.
1.4.2. 약한 암호
기본적으로 Directory Server는 약한 암호를 거부하고 이를 지원하도록 Directory Server를 구성해야 합니다.
다음과 같은 경우 암호화는 약한 것으로 간주됩니다.
exportable 합니다.
내보내기 가능한 암호는 암호 이름으로
EXPORT로 레이블이 지정됩니다. 예를 들어TLS_RSA_EXPORT_WITH_RC4_40_MD5에서 .이는 대칭이고
3DES알고리즘보다 약합니다.대칭 암호는 암호화 및 암호 해독 모두에 동일한 암호화 키를 사용합니다.
- 키 길이는 128비트보다 짧습니다.
1.4.3. 암호 디렉터리 서버 설정에서는 명령줄 사용 지원
Directory Server에서 지원되는 암호 목록을 업데이트하려면 nsSSL3Ciphers 매개변수를 업데이트합니다.
사전 요구 사항
- Directory Server에서 TLS 암호화를 활성화했습니다.
절차
활성화된 암호 목록을 표시합니다.
dsconf <instance_name> security ciphers list --enabled
# dsconf <instance_name> security ciphers list --enabledCopy to Clipboard Copied! Toggle word wrap Toggle overflow 약한 암호를 활성화해야 하는 경우 다음을 입력합니다.
dsconf <instance_name> security set --allow-insecure-ciphers on
# dsconf <instance_name> security set --allow-insecure-ciphers onCopy to Clipboard Copied! Toggle word wrap Toggle overflow nsSSL3Ciphers매개변수를 업데이트합니다. 예를 들어TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384및TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384암호만 활성화하려면 다음을 입력합니다.dsconf <instance_name> security ciphers set -- "-all,+TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,+TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
# dsconf <instance_name> security ciphers set -- "-all,+TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,+TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 쉘이
-all의-문자를 명령의 옵션으로 해석하지 않으려면--를 사용합니다. 이스케이프에\문자를 사용하지 마십시오. 오류가 발생할 수 있으므로모두다른 암호 선택을 생성합니다.인스턴스를 다시 시작합니다.
dsctl <instance_name> restart
# dsctl <instance_name> restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
활성화된 암호 목록을 표시합니다.
dsconf <instance_name> security ciphers list
# dsconf <instance_name> security ciphers list default +TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 +TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.4.4. 암호 디렉터리 서버 설정은 웹 콘솔 사용을 지원합니다.
Directory Server 웹 콘솔의 Cipher Preferences 메뉴에서 암호화 설정을 구성할 수 있습니다.
사전 요구 사항
- Directory Server에서 TLS 암호화를 활성화했습니다.
- 웹 콘솔에서 인스턴스에 로그인되어 있습니다.
절차
약한 암호를 활성화해야 하는 경우:
-
으로 이동합니다. -
Allow Weak Ciphers를 선택합니다. -
Save Settings를 클릭합니다.
-
-
. 암호화 설정을 업데이트합니다. 예를 들어
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384및TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384암호만 활성화하려면 다음을 수행합니다.-
Cipher Suite필드에서No Ciphers를 선택합니다. -
Allow Specific Ciphers필드에TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384를 입력합니다.
-
- 를 클릭합니다.
-
(인스턴스 재시작)를 클릭합니다.
검증
-
. Enabled Ciphers목록에는 활성화된 암호가 표시됩니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}