第 8 章 已知问题
本章记录了 Red Hat Enterprise Linux 7 中已知的问题。
8.1. 认证和互操作性
将默认值用于 ldap_id_use_start_tls
选项时的潜在风险
当在没有 TLS 进行身份查找的情况下使用 ldap://
时,可能会导致攻击向量的风险。特别是中间人(MITM)攻击,攻击者可以通过更改用户来模拟用户,例如,在 LDAP 搜索中返回的对象的 UID 或 GID。
目前,用于强制 TLS ldap_id_use_start_tls
的 SSSD 配置选项,默认为 false
。确保您的设置在可信环境中运行,并决定是否可以安全地对 id_provider = ldap
使用未加密的通信。注意 id_provider = ad
和 id_provider = ipa
不受影响,因为它们使用 SASL 和 GSSAPI 保护的加密连接。
如果无法使用未加密的通信,请在 /etc/sssd/sssd.conf
文件中将 ldap_id_use_start_tls
选项设置为 true
来强制使用 TLS。计划在以后的 RHEL 版本中更改默认行为。
(JIRA:RHELPLAN-155168)