У меня есть принтер с Fiery под управлением 8e Release 2. Я могу аутентифицировать пользователей в AD, используя конфигурацию LDAP, но я могу заставить его работать, только если я не использую SSL / TLS, и только если я использую SIMPLE аутентификацию. . Прямо сейчас он аутентифицируется с использованием пользователя с довольно низким уровнем воздействия, но это также единственная система в нашей сети, которая не использует LDAPS.
Я могу получить информацию AD через LDAPS, используя ldp.exe с моей машины, нашего брандмауэра, нашего почтового фильтра, наших Linux-серверов и т. Д. Единственный проблемный ребенок - это Fiery.
Я добавил сертификат LDAP-сервера в качестве доверенного сертификата в Fiery, но после того, как я установил флажок для Secure Communication и изменил порт на 636, нажатие кнопки Validate приводит к появлению диалогового окна с сообщением: LDAP Validation Failed Server Name invalid or сервер недоступен.
Я попытался изменить имя сервера, чтобы использовать только имя, полное доменное имя и IP-адрес, и изменил его на другой сервер, просто чтобы посмотреть, был ли именно этот сервер AD суетливо с Fiery.
РЕДАКТИРОВАТЬ: удален вывод LDP, добавлен анализ захвата пакетов из wirehark: разговор кажется мне вполне нормальным, вплоть до того момента, когда Fiery завершает соединение после того, как сервер отправляет ответ рукопожатия. Может они испортили свою реализацию TLS? Я пытаюсь поддержать, но пока это бесполезно. Сертификат представляет собой 2048-битный сертификат SHA-2 (sha256RSA). Кроме того, похоже, что Fiery указывает TLS 1.0. Смотря на http://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx, Я не вижу, чтобы SChannel поддерживал комбинацию SHA256 и TLS 1.0. головной стол возможно, поэтому после того, как DC изменяет спецификацию шифра, соединение разрывается Fiery? TLS 1.1 и 1.2 включены на DC.
Разговор Wireshark: DC: 172.17.2.22, Fiery: 172.17.2.42
No.Time Source Port Destination Port Protocol Length Info
1 0.000000000 172.17.2.42 48633 172.17.2.22 ldaps TCP 74 48633 > ldaps [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSval=3101761 TSecr=0 WS=4
2 0.000182000 Dell_5e:94:e3 Broadcast ARP 60 Who has 172.17.2.42? Tell 172.17.2.22
3 0.000369000 TyanComp_c9:0f:90 Dell_5e:94:e3 ARP 60 172.17.2.42 is at 00:e0:81:c9:0f:90
4 0.000370000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 74 ldaps > 48633 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 TSval=67970573 TSecr=3101761
5 0.000548000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [ACK] Seq=1 Ack=1 Win=5840 Len=0 TSval=3101761 TSecr=67970573
6 0.001000000 172.17.2.42 48633 172.17.2.22 ldaps TLSv1 147 Client Hello
7 0.001326000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 1514 [TCP segment of a reassembled PDU]
8 0.001513000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 1514 [TCP segment of a reassembled PDU]
9 0.001515000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [ACK] Seq=82 Ack=1449 Win=8736 Len=0 TSval=3101761 TSecr=67970573
10 0.001516000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [ACK] Seq=82 Ack=2897 Win=11632 Len=0 TSval=3101761 TSecr=67970573
11 0.001732000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 1514 [TCP segment of a reassembled PDU]
12 0.001737000 172.17.2.22 ldaps 172.17.2.42 48633 TLSv1 1243 Server Hello, Certificate, Certificate Request, Server Hello Done
13 0.001738000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [ACK] Seq=82 Ack=4345 Win=14528 Len=0 TSval=3101761 TSecr=67970573
14 0.001739000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [ACK] Seq=82 Ack=5522 Win=17424 Len=0 TSval=3101761 TSecr=67970573
15 0.002906000 172.17.2.42 48633 172.17.2.22 ldaps TLSv1 78 Certificate
16 0.004155000 172.17.2.42 48633 172.17.2.22 ldaps TLSv1 333 Client Key Exchange
17 0.004338000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 66 ldaps > 48633 [ACK] Seq=5522 Ack=361 Win=66304 Len=0 TSval=67970573 TSecr=3101762
18 0.004338000 172.17.2.42 48633 172.17.2.22 ldaps TLSv1 72 Change Cipher Spec
19 0.005481000 172.17.2.42 48633 172.17.2.22 ldaps TLSv1 327 Encrypted Handshake Message
20 0.005645000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 66 ldaps > 48633 [ACK] Seq=5522 Ack=628 Win=66048 Len=0 TSval=67970574 TSecr=3101762
21 0.010247000 172.17.2.22 ldaps 172.17.2.42 48633 TLSv1 125 Change Cipher Spec, Encrypted Handshake Message
22 0.016451000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [FIN, ACK] Seq=628 Ack=5581 Win=17424 Len=0 TSval=3101765 TSecr=67970574
23 0.016630000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 66 ldaps > 48633 [ACK] Seq=5581 Ack=629 Win=66048 Len=0 TSval=67970575 TSecr=3101765
24 0.016811000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 60 ldaps > 48633 [RST, ACK] Seq=5581 Ack=629 Win=0 Len=0
РЕДАКТИРОВАТЬ: повторно рассмотрел эту проблему после недавнего исправления SCHANNEL и POODLE, предложившего изменить управление шифрованием, и у меня все еще есть эта проблема.
РЕДАКТИРОВАТЬ: обращение к ответу @DTK: корневой ЦС уже добавлен. Читал для проверки. Используется полное доменное имя контроллера домена, сертификат соответствует полному доменному имени, правильно разрешается в DNS. Клиент может получить доступ к DC с помощью LDAP. Другие клиенты легко достигают LDAPS на том же DC. DC поддерживает TLS 1.0, 1.1 и 1.2. Использование простой аутентификации. Открытый ключ - это RSA 2048 бит, подписанный SHA256.
Вот поддерживаемые шифры в порядке шифрования для SCHANNEL из HKLM \ SOFTWARE \ Policies \ Microsoft \ Cryptography \ Configuration \ SSL \ 00010002:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA
Для работы LDAPS вам необходимо иметь все следующее:
Fiery не нужно напрямую доверять сертификату сервера LDAP. Он должен доверять ЦС или цепочке ЦС, подписавших сертификат сервера LDAP.
Кроме того, содержит ли сертификат сервера LDAP ссылки на расположение проверки CRL или сервер OSCP? И если да, то есть ли у сетевого подключения Fiery доступ к этому местоположению (ям)? Сертификат может быть действительным, но Fiery может быть не в состоянии должным образом проверить, не был ли он отозван.
Другая (необычная) вещь, которая может происходить, - это то, что Fiery задыхается от чего-то вроде длины ключа сертификата.