Software Público Brasileiro

Bom dia,

Estamos com dificuldade aqui na UFRJ para configurar o SEI para nativamente autenticar no LDAP usando TLS na porta padrão (389).

Por hora as credenciais estão passando em texto puro pela rede - o que é péssimo.

Vocês sabem como fazer pra configurar isso?

Abraços.
--

Atenciosamente,

Fabricio Rodrigues Caseiro
Analista de Tecnologia da Informação
Diretor da Divisão de Suporte a Sistemas Corporativos - TIC/UFRJ
+55 (21) 3938-1956

Prezado Fabrício,

Inicialmente, não temos relatos de problemas com a configuração de OpenLDAP
no SEI utilizando um conexão TLS. Na tela de parâmetros do servidor de
autenticação no SIP precisa informar a porta 389, conforme apresentado
abaixo e os campos Usuário de Teste e Senha de Teste podem ser utilizadas
para testar a conexão com o servidor utilizando as configurações definidas
acima.

Algumas considerações que podem ajudar a sua equipe a resolver este
problema:

*1) Porta de conexão ao LDAP Seguro - ldaps*
Normalmente, as conexões ao LDAP utilizando TLS (ldaps) são feitas na portal
*636*, e não na porta 389 conforme indicado anteriormente. Verifique qual
a portal correta do serviço ldaps e configure-a no campo Porta do tela de
configurações dos servidores de autenticação do SEI.

*2) Configuração do protocolo ldaps no endereço do servidor LDAP*
É necessário adicionar o protocolo ldaps:// no endereço do servidor para
que a comunicação ocorra corretamente.
Ex: *ldaps://*192.168.0.1

3) TLS utilizando certificado auto-assinado
Caso o servidor de LDAP esteja utilizando criptografia com um certificado
auto-assinado, será necessário configurar o LDAP cliente para aceitar
conexões não verificadas como seguras ou instalar a CA do certificado TLS
nas máquinas clientes.

A configuração é feita no arquivo de configuração do LDAP na máquina
cliente e normalmente pode ser localizado em */etc/ldap.conf* ou
*/etc/openldap/ldap.conf.*

Avalie os parâmetros abaixo:

*TLS* level whether clients should use TLS by default (never | hard)
*use of this directive is discouraged;* incompatible with LDAPv3 StartTLS
request

*TLS_CACERT* filename specifies the file that contains all of the CA
certificates the client recognizes

*TLS_REQCERT* level specifies what checks to perform on a server
certificate ( never | allow | try | demand,hard )


Segue também um link para outras informações como proceder tal
configuração:
-
https://www.centos.org/docs/5/html/CDS/ag/8.0/Managing_SSL-Configuring_LDAP_Clients_to_Use_SSL.html
- http://www.openldap.org/pub/ksoper/OpenLDAP_TLS_obsolete.html

Teria como passar maiores detalhes sobre o erro, junto com a mensagem de
erro registrada pelo sistema para podermos entender melhor o que pode estar
acontecendo?

Atenciosamente,

[image: pastedImage.png]

Em seg, 27 de mar de 2017 às 12:24, Fabricio Rodrigues Caseiro <
fcaseiro@tic.ufrj.br> escreveu:

> Bom dia,
>
> Estamos com dificuldade aqui na UFRJ para configurar o SEI para
> nativamente autenticar no LDAP usando TLS na porta padrão (389).
>
> Por hora as credenciais estão passando em texto puro pela rede - o que é
> péssimo.
>
> Vocês sabem como fazer pra configurar isso?
>
> Abraços.
> --
>
> Atenciosamente,
>
> Fabricio Rodrigues Caseiro
> Analista de Tecnologia da Informação
> Diretor da Divisão de Suporte a Sistemas Corporativos - TIC/UFRJ
> +55 (21) 3938-1956 <(21)%203938-1956>
> _______________________________________________
> sei-tecnico mailing list
> sei-tecnico@listas.softwarepublico.gov.br
>https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/sei-tecnico
>
--
---

Guilherme Andrade Del Cantoni

Excelente notícia.


Em qui, 30 de mar de 2017 às 11:30, Fabricio Rodrigues Caseiro <

fcaseiro@tic.ufrj.br> escreveu:

> Guilherme,
>
> Colocando na porta 636 com a URL "ldaps://" funcionou.
>
> Obrigado!
> --
>
> Atenciosamente,
>
> Fabricio Rodrigues Caseiro
> Analista de Tecnologia da Informação
> Diretor da Divisão de Suporte a Sistemas Corporativos - TIC/UFRJ
> +55 (21) 3938-1956 <(21)%203938-1956> Em Quarta, 29 Março, 2017 11:49
> -03, Guilherme Andrade Del Cantoni escreveu:
>
> Prezado Fabrício,
>
> Inicialmente, não temos relatos de problemas com a configuração de
> OpenLDAP no SEI utilizando um conexão TLS. Na tela de parâmetros do
> servidor de autenticação no SIP precisa informar a porta 389, conforme
> apresentado abaixo e os campos Usuário de Teste e Senha de Teste podem ser
> utilizadas para testar a conexão com o servidor utilizando as configurações
> definidas acima.
>
> Algumas considerações que podem ajudar a sua equipe a resolver este
> problema:
>
> *1) Porta de conexão ao LDAP Seguro - ldaps*
> Normalmente, as conexões ao LDAP utilizando TLS (ldaps) são feitas na
> portal *636*, e não na porta 389 conforme indicado anteriormente.
> Verifique qual a portal correta do serviço ldaps e configure-a no campo
> Porta do tela de configurações dos servidores de autenticação do SEI.
>
> *2) Configuração do protocolo ldaps no endereço do servidor LDAP*
> É necessário adicionar o protocolo ldaps:// no endereço do servidor para
> que a comunicação ocorra corretamente.
> Ex: *ldaps://*192.168.0.1
>
> 3) TLS utilizando certificado auto-assinado
> Caso o servidor de LDAP esteja utilizando criptografia com um certificado
> auto-assinado, será necessário configurar o LDAP cliente para aceitar
> conexões não verificadas como seguras ou instalar a CA do certificado TLS
> nas máquinas clientes.
>
> A configuração é feita no arquivo de configuração do LDAP na máquina
> cliente e normalmente pode ser localizado em */etc/ldap.conf* ou
> */etc/openldap/ldap.conf.*
>
> Avalie os parâmetros abaixo:
>
> *TLS* level whether clients should use TLS by default (never | hard)
> *use of this directive is discouraged;* incompatible with LDAPv3 StartTLS
> request
>
> *TLS_CACERT* filename specifies the file that contains all of the CA
> certificates the client recognizes
>
> *TLS_REQCERT* level specifies what checks to perform on a server
> certificate ( never | allow | try | demand,hard )
>
>
> Segue também um link para outras informações como proceder tal
> configuração:
> -
>https://www.centos.org/docs/5/html/CDS/ag/8.0/Managing_SSL-Configuring_LDAP_Clients_to_Use_SSL.html
> - http://www.openldap.org/pub/ksoper/OpenLDAP_TLS_obsolete.html
>
> Teria como passar maiores detalhes sobre o erro, junto com a mensagem de
> erro registrada pelo sistema para podermos entender melhor o que pode estar
> acontecendo?
>
>
> Atenciosamente,
> [image: pastedImage.png]
>
> Em seg, 27 de mar de 2017 às 12:24, Fabricio Rodrigues Caseiro <
> fcaseiro@tic.ufrj.br> escreveu:
>
> Bom dia,
>
> Estamos com dificuldade aqui na UFRJ para configurar o SEI para
> nativamente autenticar no LDAP usando TLS na porta padrão (389).
>
> Por hora as credenciais estão passando em texto puro pela rede - o que é
> péssimo.
>
> Vocês sabem como fazer pra configurar isso?
>
> Abraços.
> --
>
> Atenciosamente,
>
> Fabricio Rodrigues Caseiro
> Analista de Tecnologia da Informação
> Diretor da Divisão de Suporte a Sistemas Corporativos - TIC/UFRJ
> +55 (21) 3938-1956 <(21)%203938-1956>
> _______________________________________________
> sei-tecnico mailing list
> sei-tecnico@listas.softwarepublico.gov.br
>https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/sei-tecnico
>
> --
> ---
> Guilherme Andrade Del Cantoni
>
> --
---
Guilherme Andrade Del Cantoni