Назад | Перейти на главную страницу

LDAP через SSL с принтером EFI Fiery

У меня есть принтер с Fiery под управлением 8e Release 2. Я могу аутентифицировать пользователей в AD, используя конфигурацию LDAP, но я могу заставить его работать, только если я не использую SSL / TLS, и только если я использую SIMPLE аутентификацию. . Прямо сейчас он аутентифицируется с использованием пользователя с довольно низким уровнем воздействия, но это также единственная система в нашей сети, которая не использует LDAPS.

Я могу получить информацию AD через LDAPS, используя ldp.exe с моей машины, нашего брандмауэра, нашего почтового фильтра, наших Linux-серверов и т. Д. Единственный проблемный ребенок - это Fiery.

Я добавил сертификат LDAP-сервера в качестве доверенного сертификата в Fiery, но после того, как я установил флажок для Secure Communication и изменил порт на 636, нажатие кнопки Validate приводит к появлению диалогового окна с сообщением: LDAP Validation Failed Server Name invalid or сервер недоступен.

Я попытался изменить имя сервера, чтобы использовать только имя, полное доменное имя и IP-адрес, и изменил его на другой сервер, просто чтобы посмотреть, был ли именно этот сервер AD суетливо с Fiery.

РЕДАКТИРОВАТЬ: удален вывод LDP, добавлен анализ захвата пакетов из wirehark: разговор кажется мне вполне нормальным, вплоть до того момента, когда Fiery завершает соединение после того, как сервер отправляет ответ рукопожатия. Может они испортили свою реализацию TLS? Я пытаюсь поддержать, но пока это бесполезно. Сертификат представляет собой 2048-битный сертификат SHA-2 (sha256RSA). Кроме того, похоже, что Fiery указывает TLS 1.0. Смотря на http://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx, Я не вижу, чтобы SChannel поддерживал комбинацию SHA256 и TLS 1.0. головной стол возможно, поэтому после того, как DC изменяет спецификацию шифра, соединение разрывается Fiery? TLS 1.1 и 1.2 включены на DC.

Разговор Wireshark: DC: 172.17.2.22, Fiery: 172.17.2.42

No.Time        Source            Port Destination  Port  Protocol Length Info
1  0.000000000 172.17.2.42      48633 172.17.2.22  ldaps TCP      74     48633 > ldaps [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSval=3101761 TSecr=0 WS=4
2  0.000182000 Dell_5e:94:e3          Broadcast          ARP      60     Who has 172.17.2.42?  Tell 172.17.2.22
3  0.000369000 TyanComp_c9:0f:90      Dell_5e:94:e3      ARP      60     172.17.2.42 is at 00:e0:81:c9:0f:90
4  0.000370000 172.17.2.22      ldaps 172.17.2.42  48633 TCP      74     ldaps > 48633 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 TSval=67970573 TSecr=3101761
5  0.000548000 172.17.2.42      48633 172.17.2.22  ldaps TCP      66     48633 > ldaps [ACK] Seq=1 Ack=1 Win=5840 Len=0 TSval=3101761 TSecr=67970573
6  0.001000000 172.17.2.42      48633 172.17.2.22  ldaps TLSv1    147    Client Hello
7  0.001326000 172.17.2.22      ldaps 172.17.2.42  48633 TCP      1514   [TCP segment of a reassembled PDU]
8  0.001513000 172.17.2.22      ldaps 172.17.2.42  48633 TCP      1514   [TCP segment of a reassembled PDU]
9  0.001515000 172.17.2.42      48633 172.17.2.22  ldaps TCP      66     48633 > ldaps [ACK] Seq=82 Ack=1449 Win=8736 Len=0 TSval=3101761 TSecr=67970573
10 0.001516000 172.17.2.42      48633 172.17.2.22  ldaps TCP      66     48633 > ldaps [ACK] Seq=82 Ack=2897 Win=11632 Len=0 TSval=3101761 TSecr=67970573
11 0.001732000 172.17.2.22      ldaps 172.17.2.42  48633 TCP      1514   [TCP segment of a reassembled PDU]
12 0.001737000 172.17.2.22      ldaps 172.17.2.42  48633 TLSv1    1243   Server Hello, Certificate, Certificate Request, Server Hello Done
13 0.001738000 172.17.2.42      48633 172.17.2.22  ldaps TCP      66     48633 > ldaps [ACK] Seq=82 Ack=4345 Win=14528 Len=0 TSval=3101761 TSecr=67970573
14 0.001739000 172.17.2.42      48633 172.17.2.22  ldaps TCP      66     48633 > ldaps [ACK] Seq=82 Ack=5522 Win=17424 Len=0 TSval=3101761 TSecr=67970573
15 0.002906000 172.17.2.42      48633 172.17.2.22  ldaps TLSv1    78     Certificate
16 0.004155000 172.17.2.42      48633 172.17.2.22  ldaps TLSv1    333    Client Key Exchange
17 0.004338000 172.17.2.22      ldaps 172.17.2.42  48633 TCP      66     ldaps > 48633 [ACK] Seq=5522 Ack=361 Win=66304 Len=0 TSval=67970573 TSecr=3101762
18 0.004338000 172.17.2.42      48633 172.17.2.22  ldaps TLSv1    72     Change Cipher Spec
19 0.005481000 172.17.2.42      48633 172.17.2.22  ldaps TLSv1    327    Encrypted Handshake Message
20 0.005645000 172.17.2.22      ldaps 172.17.2.42  48633 TCP      66     ldaps > 48633 [ACK] Seq=5522 Ack=628 Win=66048 Len=0 TSval=67970574 TSecr=3101762
21 0.010247000 172.17.2.22      ldaps 172.17.2.42  48633 TLSv1    125    Change Cipher Spec, Encrypted Handshake Message
22 0.016451000 172.17.2.42      48633 172.17.2.22  ldaps TCP      66     48633 > ldaps [FIN, ACK] Seq=628 Ack=5581 Win=17424 Len=0 TSval=3101765 TSecr=67970574
23 0.016630000 172.17.2.22      ldaps 172.17.2.42  48633 TCP      66     ldaps > 48633 [ACK] Seq=5581 Ack=629 Win=66048 Len=0 TSval=67970575 TSecr=3101765
24 0.016811000 172.17.2.22      ldaps 172.17.2.42  48633 TCP      60     ldaps > 48633 [RST, ACK] Seq=5581 Ack=629 Win=0 Len=0

РЕДАКТИРОВАТЬ: повторно рассмотрел эту проблему после недавнего исправления SCHANNEL и POODLE, предложившего изменить управление шифрованием, и у меня все еще есть эта проблема.

РЕДАКТИРОВАТЬ: обращение к ответу @DTK: корневой ЦС уже добавлен. Читал для проверки. Используется полное доменное имя контроллера домена, сертификат соответствует полному доменному имени, правильно разрешается в DNS. Клиент может получить доступ к DC с помощью LDAP. Другие клиенты легко достигают LDAPS на том же DC. DC поддерживает TLS 1.0, 1.1 и 1.2. Использование простой аутентификации. Открытый ключ - это RSA 2048 бит, подписанный SHA256.

Вот поддерживаемые шифры в порядке шифрования для SCHANNEL из HKLM \ SOFTWARE \ Policies \ Microsoft \ Cryptography \ Configuration \ SSL \ 00010002:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Для работы LDAPS вам необходимо иметь все следующее:

  • Настройте клиента на доверие к ЦС, выдавшему сертификат (или, если используется иерархическая PKI, корневому ЦС)
  • Настройте клиента для доступа к серверу контроллера домена через полное доменное имя.
  • Полное доменное имя сервера контроллера домена должно правильно разрешаться в DNS.
  • Полное доменное имя сервера контроллера домена, настроенного на клиенте, должно совпадать с SubjectCN в сертификате, используемом для TLS. ИЛИ должен соответствовать одной из записей в SubjectAlternativeName в сертификате, используемом для TLS
  • Если клиентское устройство не использует Kerberos (и, в частности, Kerberos, совместимый с AD), необходимо использовать Simple Auth.
    • SASL не будет работать, и попытка его использования приведет к ABEND с бесполезным сообщением об ошибке.
  • Клиент и сервер должны поддерживать общий набор версий протокола TLS (предпочтительно TLS 1.1 или новее) и общий набор алгоритмов (обмен ключами, аутентификация, шифр с симметричным ключом и хэш / MAC).
    • KEX: RSA, DHE, ECDHE
    • AuthN: RSA, DSA, ECDSA
    • Шифр: AES-CBC, AES-GCM (о боже, а не RC4, DES или 3DES)
    • Хеш: SHA, SHA256 / 384/512 (пожалуйста, не MD2 или MD5)
  • Клиент и сервер должны поддерживать общие длины ключей.
    • RSA: длина открытого ключа 2048 или 4096 бит
    • DSA: 2048-битная длина открытого ключа (если поддерживается; многие поддерживают только 1024-битные ключи)
    • ECDSA / ECDHE: 283 бит или больше, на основе http://tools.ietf.org/html/rfc4492
    • AES: 128 бит или больше
    • SHA *: размер сегмента / длина дайджеста 256 бит или больше

Fiery не нужно напрямую доверять сертификату сервера LDAP. Он должен доверять ЦС или цепочке ЦС, подписавших сертификат сервера LDAP.

Кроме того, содержит ли сертификат сервера LDAP ссылки на расположение проверки CRL или сервер OSCP? И если да, то есть ли у сетевого подключения Fiery доступ к этому местоположению (ям)? Сертификат может быть действительным, но Fiery может быть не в состоянии должным образом проверить, не был ли он отозван.

Другая (необычная) вещь, которая может происходить, - это то, что Fiery задыхается от чего-то вроде длины ключа сертификата.