LDAP-endringer 12. februar 2019

ldap.uio.no endrer sertifikat og TLS-ciphers, og fjerner noen attributter og en indeks.  Klienter bør støtte minst TLS 1.1 om mulig.  Det kan testes på ldap-test.uio.no (strikt) og ldap-test2.uio.no (snill).

ldap.uio.no er ikke Active Directory.

 

Følgende endringer kommer til ldap.uio.no, med mindre noen skriker.

29. januar:

  • Støtter kraftigere TLS-ciphers. Ingen gamle ciphers forsvinner (ennå).

    Bør gå glatt, men det finnes programmer som klarer å krasje av det.

    Men det tar 3-4 ganger så lang tid å koble opp. (Fixet.)

12. februar:

  • Nytt sertifikat, signert av samme CA-sertifikat som før.
  • Noen attributter og indekser forsvinner:
    • "member" forsvinner fra person-objekter.

      Bruk uioMemberOf i stedet, den har vært der lenge.

    • "name" er ikke lenger indeksert.

      Søk i stedet etter dets subtyper cn, givenName, sn, title, ou. "name" var aldri lagret i LDAP, det brukes bare til søk etter sine subtyper.

    • "uioOffice365consent" forsvinner.

    • "uioPersonScopedAffiliation2" forsvinner.

      Bruk uioPersonScopedAffiliation1 i stedet, den har et stedkode-tre i stedet for et LDAP DN. F.eks. "primary:ANSATT/tekadm@351130,351100,351000,350000,360000,900000".

Senere i år:

  • Innskrenkning av TLS-ciphers, etter en titt på hvem som bruker hvilke.

Ellers:

  • TLS 1.0-klienter bør oppgradere til å støtte minst TLS 1.1 om mulig.

    Det gjelder særlig UiO-tjenester. En del av dem bruker fremdeles 1.0.

    Men ldap.uio.no må nok støtte TLS 1.0 en tid fremover uansett.

Testing:

  • ldap-test.uio.no og ldap-test2.uio.no inneholder endringene nå.

  • ldap-test2.uio.no er satt opp slik ldap.uio.no vil bli. Men prøv gjerne ldap-test først:

  • ldap-test.uio.no krever også TLS 1.2, og støtter færre TLS-ciphers: Bare de som kommer til ldap.uio.no 29. januar.

    Det er hva IT-sikkerhet ønsker at klienter skal støtte. (Antakelig. De tenker fremdeles, men det passet best å ta dette nå.)

  • ldap-test*.uio.no har ikke redundans.  Forvent nedetid eller hikke på opp til 5 minutter en gang i blant.

Kontakt:

katalog-core@usit.uio.no, eller stikk innom.

Arrangør

Hallvard Furuseth
Publisert 16. jan. 2019 20:13 - Sist endret 30. jan. 2019 08:14