LDAP-endringer 12. februar 2019

Følgende endringer kommer til ldap.uio.no, med mindre noen skriker.

29. januar:

• Støtter kraftigere TLS-ciphers. Ingen gamle ciphers forsvinner (ennå).

  Bør gå glatt, men det finnes programmer som klarer å krasje av det.

  Men det tar 3-4 ganger så lang tid å koble opp. (Fixet.)

12. februar:

• Nytt sertifikat, signert av samme CA-sertifikat som før.
• Noen attributter og indekser forsvinner:

  • "member" forsvinner fra person-objekter.

    Bruk uioMemberOf i stedet, den har vært der lenge.

  • "name" er ikke lenger indeksert.

    Søk i stedet etter dets subtyper cn, givenName, sn, title, ou. "name" var aldri lagret i LDAP, det brukes bare til søk etter sine subtyper.

  • "uioOffice365consent" forsvinner.

  • "uioPersonScopedAffiliation2" forsvinner.

    Bruk uioPersonScopedAffiliation1 i stedet, den har et stedkode-tre i stedet for et LDAP DN. F.eks. "primary:ANSATT/tekadm@351130,351100,351000,350000,360000,900000".

Senere i år:

• Innskrenkning av TLS-ciphers, etter en titt på hvem som bruker hvilke.

Ellers:

• TLS 1.0-klienter bør oppgradere til å støtte minst TLS 1.1 om mulig.

  Det gjelder særlig UiO-tjenester. En del av dem bruker fremdeles 1.0.

  Men ldap.uio.no må nok støtte TLS 1.0 en tid fremover uansett.

Testing:

• ldap-test.uio.no og ldap-test2.uio.no inneholder endringene nå.

• ldap-test2.uio.no er satt opp slik ldap.uio.no vil bli. Men prøv gjerne ldap-test først:

• ldap-test.uio.no krever også TLS 1.2, og støtter færre TLS-ciphers: Bare de som kommer til ldap.uio.no 29. januar.

  Det er hva IT-sikkerhet ønsker at klienter skal støtte. (Antakelig. De tenker fremdeles, men det passet best å ta dette nå.)

• ldap-test*.uio.no har ikke redundans.  Forvent nedetid eller hikke på opp til 5 minutter en gang i blant.

Kontakt:

katalog-core@usit.uio.no, eller stikk innom.