<div dir="ltr">That did it. <div><br></div><div>Thank you.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 24, 2015 at 12:59 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Michael,<br>
<br>
It is possible that this problem comes from obsolete package in the<br>
mkosek/freeipa COPR repo, which was fixed in Fedora/RHEL, but not there.<br>
<br>
Can you please try to update the 389-ds-base from<br>
<br>
<a href="https://copr.fedoraproject.org/coprs/mkosek/freeipa/" rel="noreferrer" target="_blank">https://copr.fedoraproject.org/coprs/mkosek/freeipa/</a><br>
<br>
? I rebuilt the latest F21 389-ds-base to the repo, there were some related fixes.<br>
<br>
Thanks,<br>
Martin<br>
<div class="HOEnZb"><div class="h5"><br>
On 09/23/2015 05:50 PM, Michael Lasevich wrote:<br>
> No difference. It is as if this setting is being overwritten somewhere deep<br>
> in 389ds, because the "error" log correctly reflects the changes, but the<br>
> actual process does not. (and yes, I verified that the process actually<br>
> shuts down and start up again when I restart it)<br>
><br>
> ldapsearch -x -D "cn=directory manager" -W -b "cn=encryption,cn=config"<br>
> # encryption, config<br>
> dn: cn=encryption,cn=config<br>
> objectClass: top<br>
> objectClass: nsEncryptionConfig<br>
> cn: encryption<br>
> nsSSLSessionTimeout: 0<br>
> nsSSLClientAuth: allowed<br>
> sslVersionMin: TLS1.0<br>
> nsSSL3Ciphers: +all<br>
> allowWeakCipher: off<br>
> nsSSL3: off<br>
> nsSSL2: off<br>
> ... (skipping nssslenabledciphers's) ...<br>
> nsTLS1: on<br>
> sslVersionMax: TLS1.2<br>
><br>
> SLAPD error log got longer:<br>
><br>
> SSL Initialization - Configured SSL version range: min: TLS1.0, max: TLS1.2<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert: Configured NSS Ciphers<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_DHE_RSA_WITH_AES_128_GCM_SHA256: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_DHE_DSS_WITH_AES_128_GCM_SHA256: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_DHE_RSA_WITH_AES_128_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_DHE_DSS_WITH_AES_128_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:28 -0600] - SSL alert:<br>
> TLS_DHE_RSA_WITH_AES_128_CBC_SHA256: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_DSS_WITH_AES_128_CBC_SHA256: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_RSA_WITH_AES_256_GCM_SHA384: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_DSS_WITH_AES_256_GCM_SHA384: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_RSA_WITH_AES_256_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_DSS_WITH_AES_256_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_RSA_WITH_AES_256_CBC_SHA256: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_DSS_WITH_AES_256_CBC_SHA256: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_ECDH_RSA_WITH_AES_128_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_ECDH_RSA_WITH_AES_256_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_RSA_WITH_AES_256_GCM_SHA384: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_RSA_WITH_AES_128_GCM_SHA256: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_RSA_WITH_AES_128_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_RSA_WITH_AES_128_CBC_SHA256: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_RSA_WITH_CAMELLIA_128_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_RSA_WITH_AES_256_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_RSA_WITH_AES_256_CBC_SHA256: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:<br>
> TLS_RSA_WITH_CAMELLIA_256_CBC_SHA: enabled<br>
> [23/Sep/2015:09:37:29 -0600] - SSL alert:       TLS_RSA_WITH_SEED_CBC_SHA:<br>
> enabled<br>
> [23/Sep/2015:09:37:29 -0600] - 389-Directory/<a href="http://1.3.3.8" rel="noreferrer" target="_blank">1.3.3.8</a> B2015.040.128 starting<br>
> up<br>
><br>
> SSLScan Output:<br>
><br>
> sslscan --no-failed localhost:636<br>
><br>
> ...<br>
>  Supported Server Cipher(s):<br>
>     Accepted  TLSv1  256 bits  AES256-SHA<br>
>     Accepted  TLSv1  128 bits  AES128-SHA<br>
>     Accepted  TLSv1  128 bits  DES-CBC3-SHA<br>
>     Accepted  TLSv1  128 bits  RC4-SHA<br>
>     Accepted  TLSv1  128 bits  RC4-MD5<br>
>     Accepted  TLS11  256 bits  AES256-SHA<br>
>     Accepted  TLS11  128 bits  AES128-SHA<br>
>     Accepted  TLS11  128 bits  DES-CBC3-SHA<br>
>     Accepted  TLS11  128 bits  RC4-SHA<br>
>     Accepted  TLS11  128 bits  RC4-MD5<br>
>     Accepted  TLS12  256 bits  AES256-SHA256<br>
>     Accepted  TLS12  256 bits  AES256-SHA<br>
>     Accepted  TLS12  128 bits  AES128-GCM-SHA256<br>
>     Accepted  TLS12  128 bits  AES128-SHA256<br>
>     Accepted  TLS12  128 bits  AES128-SHA<br>
>     Accepted  TLS12  128 bits  DES-CBC3-SHA<br>
>     Accepted  TLS12  128 bits  RC4-SHA<br>
>     Accepted  TLS12  128 bits  RC4-MD5<br>
><br>
><br>
> On Wed, Sep 23, 2015 at 8:19 AM, Ludwig Krispenz <<a href="mailto:lkrispen@redhat.com">lkrispen@redhat.com</a>><br>
> wrote:<br>
><br>
>><br>
>> On 09/23/2015 05:05 PM, Michael Lasevich wrote:<br>
>><br>
>> Yes, I am talking about 389ds as is integrated in FreeIPA (would be silly<br>
>> to post completely non-IPA questions to this list...).<br>
>> I am running FreeIPA 4.1.4 on CentOS 7.1 and RC4 is enabled on port 636 no<br>
>> matter what I do.<br>
>><br>
>> I am running "CentOS Linux release 7.1.1503 (Core)"<br>
>><br>
>> Relevant Packages:<br>
>><br>
>> freeipa-server-4.1.4-1.el7.centos.x86_64<br>
>> 389-ds-base-1.3.3.8-1.el7.centos.x86_64<br>
>> nss-3.19.1-5.el7_1.x86_64<br>
>> openssl-1.0.1e-42.el7.9.x86_64<br>
>><br>
>> LDAP setting (confirmed that in error.log there is no menition of RC4 in<br>
>> list of ciphers):<br>
>><br>
>> nsSSL3Ciphers:<br>
>> -rc4,-rc4export,-rc2,-rc2export,-des,-desede3,-rsa_rc4_128_md5,-rsa_rc4_128_sha,+rsa_3des_sha,-rsa_des_sha,+rsa_fips_3des_sha,+fips_3des_sha,-rsa_fips_des_sha,-fips_des_sha,-rsa_rc4_40_md5,-rsa_rc2_40_md5,-rsa_null_md5,-rsa_null_sha,-tls_rsa_export1024_with_rc4_56_sha,-rsa_rc4_56_sha,-tls_rsa_export1024_with_des_cbc_sha,-rsa_des_56_sha,-fortezza,-fortezza_rc4_128_sha,-fortezza_null,-dhe_dss_des_sha,+dhe_dss_3des_sha,-dhe_rsa_des_sha,+dhe_rsa_3des_sha,+tls_rsa_aes_128_sha,+rsa_aes_128_sha,+tls_dhe_dss_aes_128_sha,+tls_dhe_rsa_aes_128_sha,+tls_rsa_aes_256_sha,+rsa_aes_256_sha,+tls_dhe_dss_aes_256_sha,+tls_dhe_rsa_aes_256_sha,-tls_dhe_dss_1024_rc4_sha,-tls_dhe_dss_rc4_128_sha<br>
>><br>
>> with ipa the config entry should contain:<br>
>><br>
>> dn: cn=encryption,cn=config<br>
>> allowWeakCipher: off<br>
>> nsSSL3Ciphers: +all<br>
>><br>
>> could you try this setting<br>
>><br>
>> Slapd "error" log showing no ciphersuites supporting RC4:<br>
>><br>
>> [23/Sep/2015:08:51:04 -0600] SSL Initialization - Configured SSL version<br>
>> range: min: TLS1.0, max: TLS1.2<br>
>> [23/Sep/2015:08:51:04 -0600] - SSL alert: Cipher suite fortezza is not<br>
>> available in NSS 3.16.  Ignoring fortezza<br>
>> [23/Sep/2015:08:51:04 -0600] - SSL alert: Cipher suite<br>
>> fortezza_rc4_128_sha is not available in NSS 3.16.  Ignoring<br>
>> fortezza_rc4_128_sha<br>
>> [23/Sep/2015:08:51:04 -0600] - SSL alert: Cipher suite fortezza_null is<br>
>> not available in NSS 3.16.  Ignoring fortezza_null<br>
>> [23/Sep/2015:08:51:04 -0600] - SSL alert: Configured NSS Ciphers<br>
>> [23/Sep/2015:08:51:04 -0600] - SSL alert:<br>
>> TLS_DHE_RSA_WITH_AES_128_CBC_SHA: enabled<br>
>> [23/Sep/2015:08:51:04 -0600] - SSL alert:<br>
>> TLS_DHE_DSS_WITH_AES_128_CBC_SHA: enabled<br>
>> [23/Sep/2015:08:51:04 -0600] - SSL alert:<br>
>> TLS_DHE_RSA_WITH_AES_256_CBC_SHA: enabled<br>
>> [23/Sep/2015:08:51:04 -0600] - SSL alert:<br>
>> TLS_DHE_DSS_WITH_AES_256_CBC_SHA: enabled<br>
>> [23/Sep/2015:08:51:04 -0600] - SSL alert:<br>
>> TLS_RSA_WITH_AES_128_CBC_SHA: enabled<br>
>> [23/Sep/2015:08:51:04 -0600] - SSL alert:<br>
>> TLS_RSA_WITH_AES_256_CBC_SHA: enabled<br>
>> [23/Sep/2015:08:51:04 -0600] - 389-Directory/<a href="http://1.3.3.8" rel="noreferrer" target="_blank">1.3.3.8</a> B2015.040.128<br>
>> starting up<br>
>><br>
>> But sslscan returns:<br>
>><br>
>> $ sslscan --no-failed localhost:636<br>
>> ...<br>
>><br>
>> Supported Server Cipher(s):<br>
>><br>
>>     Accepted  TLSv1  256 bits  AES256-SHA<br>
>>     Accepted  TLSv1  128 bits  AES128-SHA<br>
>>     Accepted  TLSv1  128 bits  DES-CBC3-SHA<br>
>>     Accepted  TLSv1  128 bits  RC4-SHA<br>
>>     Accepted  TLSv1  128 bits  RC4-MD5<br>
>>     Accepted  TLS11  256 bits  AES256-SHA<br>
>>     Accepted  TLS11  128 bits  AES128-SHA<br>
>>     Accepted  TLS11  128 bits  DES-CBC3-SHA<br>
>>     Accepted  TLS11  128 bits  RC4-SHA<br>
>>     Accepted  TLS11  128 bits  RC4-MD5<br>
>>     Accepted  TLS12  256 bits  AES256-SHA256<br>
>>     Accepted  TLS12  256 bits  AES256-SHA<br>
>>     Accepted  TLS12  128 bits  AES128-GCM-SHA256<br>
>>     Accepted  TLS12  128 bits  AES128-SHA256<br>
>>     Accepted  TLS12  128 bits  AES128-SHA<br>
>>     Accepted  TLS12  128 bits  DES-CBC3-SHA<br>
>>     Accepted  TLS12  128 bits  RC4-SHA<br>
>>     Accepted  TLS12  128 bits  RC4-MD5<br>
>><br>
>> ...<br>
>><br>
>><br>
>> I would assume the sslscan is broken, but nmap and other scanners all<br>
>> confirm that RC4 is still on.<br>
>><br>
>> -M<br>
>><br>
>> On Wed, Sep 23, 2015 at 3:35 AM, Martin Kosek <<a href="mailto:mkosek@redhat.com">mkosek@redhat.com</a>> wrote:<br>
>><br>
>>> On 09/23/2015 11:00 AM, Michael Lasevich wrote:<br>
>>>> OK, this is most bizarre issue,<br>
>>>><br>
>>>> I am trying to disable RC4 based TLS Cipher Suites in LDAPs(port 636)<br>
>>> and<br>
>>>> for the life of me cannot get it to work<br>
>>>><br>
>>>> I have followed many nearly identical instructions to create ldif file<br>
>>> and<br>
>>>> change "nsSSL3Ciphers" in "cn=encryption,cn=config". Seems simple<br>
>>> enough -<br>
>>>> and I get it to take, and during the startup I can see the right SSL<br>
>>> Cipher<br>
>>>> Suites listed in errors.log - but when it starts and I probe it, RC4<br>
>>>> ciphers are still there. I am completely confused.<br>
>>>><br>
>>>> I tried setting "nsSSL3Ciphers" to "default" (which does not have "RC4")<br>
>>>> and to old style cyphers lists(lowercase), and new style cypher<br>
>>>> lists(uppercase), and nothing seems to make any difference.<br>
>>>><br>
>>>> Any ideas?<br>
>>>><br>
>>>> -M<br>
>>><br>
>>> Are you asking about standalone 389-DS or the one integrated in FreeIPA?<br>
>>> As<br>
>>> with currently supported versions of FreeIPA, RC4 ciphers should be<br>
>>> already<br>
>>> gone, AFAIK.<br>
>>><br>
>>> In RHEL/CentOS world, it should be fixed in 6.7/7.1 or later:<br>
>>><br>
>>> <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1154687" rel="noreferrer" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1154687</a><br>
>>> <a href="https://fedorahosted.org/freeipa/ticket/4653" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/4653</a><br>
>>><br>
>><br>
>><br>
>><br>
>><br>
>><br>
>> --<br>
>> Manage your subscription for the Freeipa-users mailing list:<br>
>> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
>> Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
>><br>
><br>
><br>
><br>
<br>
</div></div></blockquote></div><br></div>