我正在尝试通过 Google LDAP(G Suite/Google Admin)进行身份验证,以允许我的客户使用他们的 Google 凭据登录。我对 LDAP 方面一无所知,我只能在 Google Admin 中生成证书/密钥组合。
在 18.04 上,这个功能对我来说运行良好,但升级到 20.04 后,我无法让它工作。此外,它做在其他发行版(Fedora)中对我有用,我在下面包含了一些详细信息。我读了一篇关于 TLS 1.X 及以下版本在 20.04 中被禁用的 Canonical 帖子;这是否意味着这可能是密码套件问题?
错误信息
● sssd.service - 系统安全服务守护进程已加载:已加载(/lib/systemd/system/sssd.service;已启用;供应商预设:已启用)活动:自 2021-08-02 星期一 15:38:22 EDT 起处于活动状态(正在运行); 6 秒前 主 PID:3165 (sssd) 任务:4 (限制:9043) 内存:37.3M CGroup:/system.slice/sssd.service ═─3165 /usr/sbin/sssd -i --logger=files ═─3167 /usr/libexec/sssd/sssd_be --domain mydomain.com --uid 0 --gid 0 --logger=files ═─3168 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files └─3169 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files
8 月 2 日 15:38:21 JY2D353 systemd[1]: 正在启动系统安全服务守护进程...
8月2日 15:38:21 JY2D353 sssd[3165]: 正在启动
8月2日 15:38:22 JY2D353 sssd_be[3167]:正在启动
8月2日 15:38:22 JY2D353 sssd_pam[3169]:正在启动
8月2日 15:38:22 JY2D353 sssd_nss[3168]:正在启动
8 月 2 日 15:38:22 JY2D353 sssd_be[3167]: 无法启动 TLS 加密。未知错误
8 月 2 日 15:38:22 JY2D353 systemd[1]:已启动系统安全服务守护进程。
最后工作配置
- Ubuntu 18.04
- SSSD 1.16.0
- 按照指示找到这里
我仍然可以使用此设置成功进行身份验证。
当前配置
Ubuntu 20.04
SSSD 2.4.0
相同配置
日志/conf
答案1
这是 TLS 1.3 和 Google 需要 SNI 的问题,这显然在 Ubuntu 20 中没有得到正确支持。对我来说似乎有效的一种解决方法是添加到域部分sssd.conf:
ldap_tls_cipher_suite = NORMAL:!VERS-TLS1.3
强制使用 TLS1.2 并消除 SNI 问题。