我试图以一种可以回答的方式提出这个问题,但问题的一部分是了解我当前情况的影响,以及是否存在问题或技术债务会进一步困扰我。
我已经在主副本设置中设置了一些 IPA 服务器。
server1:dns A 记录(和 fqdn 主机名):srv1.mydomain.com
server2:dns A 记录(和 fqdn 主机名):srv2.mydomain.com
server3:dns A 记录(和 fqdn 主机名):srv3.mydomain.com
服务器的 cname 分别为 auth-a、auth-b、auth-c,并按照正常的 IPA 安装使用自签名证书。
对于 ssh 连接和 sssd 等,这可以正常工作数月。当尝试挂接只允许指定一个 ldap 服务器的应用程序时,问题就出现了。有用于故障转移的 SRV dns 记录设置,但为了让这些应用程序正常工作,我还放入了 dns 循环记录。
问题是这个循环只适用于普通的 ldap 查找,而不适用于 ldap ssl。但是,如果我禁用对 ssl 证书的检查,我可以使 ssl 工作。
所以……问题!
a) 实际上,禁用对内部服务的证书检查有多糟糕?将始终从 LAN 查询此 ldap 服务器。我相信我对可能的 MITM 攻击持开放态度,但我不确定我需要对此有多担心。我的意思是,现在我的另一个选择是不使用 ssl,这太可怕了。要执行 MITM 攻击,他们已经需要在我的网络上并控制 DNS,不是吗?任何可以将这种担忧量化为实际情况的建议都会有所帮助。
b)据我所知,要实际解决此问题,我需要在服务器的自签名证书上将 RR dns 条目作为主题 alt 名称。这意味着重新键入服务器,对吗?在 IPA 的情况下,这意味着将每个客户端重新加入IPA 以获得新证书。我认为这是一个非首发。
c) 考虑到 (a) 和 (b) 的当前情况和结果,您会推荐什么作为允许仅允许指定一个 ldap 服务器的应用程序的最佳行动方案(并且不要在任何情况下使用 SRV dns 记录)方式)故障转移到另一台服务器,如果一个服务器出现故障,仍然允许 ldap over ssl 提供我的证书?
您应该使用 subjectAlternitiveNames 颁发新证书,并将该名称的 dns 记录指向负载均衡器。
| 归档时间: |
|
| 查看次数: |
1917 次 |
| 最近记录: |