Парча Connectrix: Параметр "starttls" відсутній у команді "aaaconfig" на перемикачах
Summary: Параметр "starttls" відсутній у команді "aaaconfig" у FOS v8.2.3 та FOS v9.0.0x.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
STARTTLS – це альтернативний підхід, який зараз є кращим методом шифрування з'єднання LDAP. STARTTLS "оновлює" незашифроване з'єднання, обгортаючи його SSL/TLS після або під час процесу підключення.
Він працює шляхом встановлення нормального, тобто незахищеного з'єднання з сервером LDAP, перш ніж буде виконано узгодження рукостискання між сервером і веб-службами.
Тут сервер надсилає свій сертифікат, щоб підтвердити свою особистість до встановлення безпечного з'єднання.
Якщо переговори щодо безпечного з'єднання не увінчалися успіхом, може бути відкрито стандартне з'єднання LDAP.
Чи станеться це, залежить від сервера LDAP та його налаштувань.
Він працює шляхом встановлення нормального, тобто незахищеного з'єднання з сервером LDAP, перш ніж буде виконано узгодження рукостискання між сервером і веб-службами.
Тут сервер надсилає свій сертифікат, щоб підтвердити свою особистість до встановлення безпечного з'єднання.
Якщо переговори щодо безпечного з'єднання не увінчалися успіхом, може бути відкрито стандартне з'єднання LDAP.
Чи станеться це, залежить від сервера LDAP та його налаштувань.
Cause
Оскільки Broadcom не підтримує Secure LDAP з портом #636, безпечне з'єднання намагаються встановити шляхом включення
параметра "STARTTLS" під час налаштування служб AAA за допомогою "LDAP".
Ця опція недоступна як у FOS v8.2.3, так і в FOS v9.0.0x, оскільки вона не тестувалася.
Скріншот для довідки:
FOS v9.0.0x:
FOS v8.2.3:
Resolution
Так як опція "starttls" не тестувалася в FOS v8.2.3 і v9,0.x, ви її не отримаєте під час налаштування команди "aaaconfig" на перемикачі.
FOSv9.0.x було випущено до FOS v8.2.3a і вище, тому опція "starttls" відсутня в команді "aaaconfig".
Опція "starttls" доступна лише з FOS, починаючи з версії 8.2.3a і вище. Ця інформація оновлюється в примітках до випуску FOS v8.2.3a.
У FOS v9.1 опція "starttls" доступна під час налаштування "aaaconfig".
Команда для його налаштування:
aaaconfig --add | --change server -conf radius | ldap | tacacs+ [-p port] [-d domain] [-t timeout] [-s secret] [-a chap | pap | peap-mschapv2] [-e -encr_type none | aes256] [-tls_mode starttls | ldaps]
Пост настройки те ж можна перевірити по команді:
switch:admin> aaaconfig --show -conf ldap LDAP CONFIGURATIONS =================== Position : 1 Server : 1.2.3.4 Port : 389 Domain : local Timeout(s) : 3 LDAP TLS Mode : STARTTLS Position : 2 Server : 5.6.7.8 Port : 389 Domain : local Timeout(s) : 3 LDAP TLS Mode : STARTTLS Primary AAA Service: LDAP Secondary AAA Service: Switch database Log Primary Authentication Status: Yes
Affected Products
Connectrix B-Series SoftwareProducts
Connectrix B-Series, Connectrix B-Series HardwareArticle Properties
Article Number: 000201898
Article Type: Solution
Last Modified: 14 Apr 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.