<html><body><p>Hi Alex,<br><br>   Just wanted to make sure.. needed to know if I had to upgrade or spend more time trial and erroring this out.  <br><br>So since my nmap is showing this<br>[bob@server slapd-PKI-IPA]# nmap --script ssl-enum-ciphers -p 636 `hostname`<br><br>Starting Nmap 5.51 ( <a href="http://nmap.org/">http://nmap.org</a> ) at 2016-04-27 13:42 EDT<br>Nmap scan report for<br>Host is up (0.000090s latency).<br>PORT    STATE SERVICE<br>636/tcp open  ldapssl<br>| ssl-enum-ciphers: <br>|   TLSv1.2<br>|     Ciphers (13)<br>|       SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA<br>|       SSL_RSA_FIPS_WITH_DES_CBC_SHA<br>|       TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA<br>|       TLS_RSA_EXPORT1024_WITH_RC4_56_SHA<br>|       TLS_RSA_WITH_3DES_EDE_CBC_SHA<br>|       TLS_RSA_WITH_AES_128_CBC_SHA<br>|       TLS_RSA_WITH_AES_128_CBC_SHA256<br>|       TLS_RSA_WITH_AES_128_GCM_SHA256<br>|       TLS_RSA_WITH_AES_256_CBC_SHA<br>|       TLS_RSA_WITH_AES_256_CBC_SHA256<br>|       TLS_RSA_WITH_DES_CBC_SHA<br>|       TLS_RSA_WITH_RC4_128_MD5<br>|       TLS_RSA_WITH_RC4_128_SHA<br>|     Compressors (1)<br>|_      uncompressed<br><br>Nmap done: 1 IP address (1 host up) scanned in 0.21 seconds<br><br><br>I decided to remove TLS_RSA_EXPORT1024_WITH_RC4_56_SHA so looked up what DS actually names this to be and it looks like these have to be removed<br><br>
<table border="0" cellspacing="0" cellpadding="0"><tr valign="top"><td width="307" valign="middle"><font size="4">TLS_RSA_EXPORT1024_WITH_RC4_56_SHA</font></td><td width="232" valign="middle"><font size="4">rsa_rc4_56_sha<br>                 tls_dhe_dss_1024_rc4_sha<br>  tls_rsa_export1024_with_rc4_56_sh</font><br></td></tr>
<tr valign="top"><td width="307"><font size="4">I stopped IPA with ipactl stop</font><br><font size="4">modified dse.ldif with this</font></td><td width="232"><img width="1" height="1" src="cid:1__=88BBF531DFF2F0548f9e8a93df938690918c88B@" border="0" alt=""></td></tr></table>nsSSL3Ciphers: +all,-rsa_null_sha,-rsa_rc4_56_sha,-tls_rsa_export1024_with_rc4<br> _56_sha,-tls_dhe_dss_1024_rc4_sha<br>allowweakcipher: off<br>numSubordinates: 1<br><br>Reran nmap and it still shows TLS_RSA_EXPORT1024_WITH_RC4_56_SHA<br><br>bob@server slapd-PKI-IPA]# nmap --script ssl-enum-ciphers -p 636 `hostname`<br><br>Starting Nmap 5.51 ( <a href="http://nmap.org/">http://nmap.org</a> ) at 2016-04-27 13:48 EDT<br>Nmap scan report for <br>Host is up (0.000078s latency).<br>PORT    STATE SERVICE<br>636/tcp open  ldapssl<br>| ssl-enum-ciphers: <br>|   TLSv1.2<br>|     Ciphers (13)<br>|       SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA<br>|       SSL_RSA_FIPS_WITH_DES_CBC_SHA<br>|       TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA<br>|       TLS_RSA_EXPORT1024_WITH_RC4_56_SHA<br>|       TLS_RSA_WITH_3DES_EDE_CBC_SHA<br>|       TLS_RSA_WITH_AES_128_CBC_SHA<br>|       TLS_RSA_WITH_AES_128_CBC_SHA256<br>|       TLS_RSA_WITH_AES_128_GCM_SHA256<br>|       TLS_RSA_WITH_AES_256_CBC_SHA<br>|       TLS_RSA_WITH_AES_256_CBC_SHA256<br>|       TLS_RSA_WITH_DES_CBC_SHA<br>|       TLS_RSA_WITH_RC4_128_MD5<br>|       TLS_RSA_WITH_RC4_128_SHA<br>|     Compressors (1)<br>|_      uncompressed<br><br>Nmap done: 1 IP address (1 host up) scanned in 0.19 seconds<br><br>Am I doing something wrong here?<br><br><br><br>Sean Hogan<br><br><br><br><br><br><img width="16" height="16" src="cid:2__=88BBF531DFF2F0548f9e8a93df938690918c88B@" border="0" alt="Inactive hide details for Alexander Bokovoy ---04/27/2016 10:35:11 AM---On Wed, 27 Apr 2016, Sean Hogan wrote: >"><font color="#424282">Alexander Bokovoy ---04/27/2016 10:35:11 AM---On Wed, 27 Apr 2016, Sean Hogan wrote: ></font><br><br><font size="2" color="#5F5F5F">From:        </font><font size="2">Alexander Bokovoy <abokovoy@redhat.com></font><br><font size="2" color="#5F5F5F">To:        </font><font size="2">Sean Hogan/Durham/IBM@IBMUS</font><br><font size="2" color="#5F5F5F">Cc:        </font><font size="2">freeipa-users <freeipa-users@redhat.com></font><br><font size="2" color="#5F5F5F">Date:        </font><font size="2">04/27/2016 10:35 AM</font><br><font size="2" color="#5F5F5F">Subject:        </font><font size="2">Re: [Freeipa-users] IPA vulnerability management SSL</font><br><hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br><br><br><tt>On Wed, 27 Apr 2016, Sean Hogan wrote:<br>><br>>Hello Alexander<br>><br>><br>>I knew the below which is why I added my DS rpm version in the orig email<br>>which made sense to me but per 389 DS docs alloowweakcipher starts in<br>>1.3.3.2 in case anyone else reads this.  At least thats what the docs say<br>>but you may know something where it actually does not work til 1.3.4.0.  I<br>>dunno<br>></tt><tt><a href="http://directory.fedoraproject.org/docs/389ds/design/nss-cipher-design.html">http://directory.fedoraproject.org/docs/389ds/design/nss-cipher-design.html</a></tt><tt><br>><br>><br>>Additionally I want to clarify the comment 4.3.1 has this as default setup.<br>>Are you suggesting that IPA 3.0.47 for rhel6 is incapable of getting a<br>>stronger ssl config and that anyone who needs tighter cipher control needs<br>>to upgrade to IPA 4.3.1 and there OS to RHEL(centos, scientific) 7<br>All I said is that we fixed this particular issue to make sure defaults<br>in 4.3.1 reflect current status quo on SSL ciphers.<br><br>If you want to have a similar setup with 3.0.47, you are welcome to<br>improve the configuration based on the effort we did for 4.3.1.<br><br>Notice that I said nothing about incapability of either deployment to<br>handle this, not sure where you were able to read that from.<br><br>-- <br>/ Alexander Bokovoy<br><br></tt><br><br><BR>
</body></html>