第 8 章 已知问题


本章记录了 Red Hat Enterprise Linux 7 中已知的问题。

8.1. 认证和互操作性

将默认值用于 ldap_id_use_start_tls 选项时的潜在风险

当在没有 TLS 进行身份查找的情况下使用 ldap:// 时,可能会导致攻击向量的风险。特别是中间人(MITM)攻击,攻击者可以通过更改用户来模拟用户,例如,在 LDAP 搜索中返回的对象的 UID 或 GID。

目前,用于强制 TLS ldap_id_use_start_tls 的 SSSD 配置选项,默认为 false。确保您的设置在可信环境中运行,并决定是否可以安全地对 id_provider = ldap 使用未加密的通信。注意 id_provider = adid_provider = ipa 不受影响,因为它们使用 SASL 和 GSSAPI 保护的加密连接。

如果无法使用未加密的通信,请在 /etc/sssd/sssd.conf 文件中将 ldap_id_use_start_tls 选项设置为 true 来强制使用 TLS。计划在以后的 RHEL 版本中更改默认行为。

(JIRA:RHELPLAN-155168)

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.