LDAP-endringer 12. februar 2019
ldap.uio.no endrer sertifikat og TLS-ciphers, og fjerner noen attributter og en indeks. Klienter bør støtte minst TLS 1.1 om mulig. Det kan testes på ldap-test.uio.no (strikt) og ldap-test2.uio.no (snill).
ldap.uio.no er ikke Active Directory.
Følgende endringer kommer til ldap.uio.no, med mindre noen skriker.
29. januar:
-
Støtter kraftigere TLS-ciphers. Ingen gamle ciphers forsvinner (ennå).
Bør gå glatt, men det finnes programmer som klarer å krasje av det.
Men det tar 3-4 ganger så lang tid å koble opp. (Fixet.)
12. februar:
- Nytt sertifikat, signert av samme CA-sertifikat som før.
- Noen attributter og indekser forsvinner:
-
"member" forsvinner fra person-objekter.
Bruk uioMemberOf i stedet, den har vært der lenge.
-
"name" er ikke lenger indeksert.
Søk i stedet etter dets subtyper cn, givenName, sn, title, ou. "name" var aldri lagret i LDAP, det brukes bare til søk etter sine subtyper.
-
"uioOffice365consent" forsvinner.
-
"uioPersonScopedAffiliation2" forsvinner.
Bruk uioPersonScopedAffiliation1 i stedet, den har et stedkode-tre i stedet for et LDAP DN. F.eks. "primary:ANSATT/tekadm@351130,351100,351000,350000,360000,900000".
-
Senere i år:
- Innskrenkning av TLS-ciphers, etter en titt på hvem som bruker hvilke.
Ellers:
-
TLS 1.0-klienter bør oppgradere til å støtte minst TLS 1.1 om mulig.
Det gjelder særlig UiO-tjenester. En del av dem bruker fremdeles 1.0.
Men ldap.uio.no må nok støtte TLS 1.0 en tid fremover uansett.
Testing:
-
ldap-test.uio.no og ldap-test2.uio.no inneholder endringene nå.
-
ldap-test2.uio.no er satt opp slik ldap.uio.no vil bli. Men prøv gjerne ldap-test først:
-
ldap-test.uio.no krever også TLS 1.2, og støtter færre TLS-ciphers: Bare de som kommer til ldap.uio.no 29. januar.
Det er hva IT-sikkerhet ønsker at klienter skal støtte. (Antakelig. De tenker fremdeles, men det passet best å ta dette nå.)
-
ldap-test*.uio.no har ikke redundans. Forvent nedetid eller hikke på opp til 5 minutter en gang i blant.
Kontakt:
katalog-core@usit.uio.no, eller stikk innom.