Tenho uma impressora com um Fiery executando o 8e versão 2. Posso autenticar usuários no AD usando a configuração do LDAP, mas só posso fazê-lo funcionar se não usar SSL / TLS e somente se eu use a autenticação SIMPLE. No momento, ele está sendo autenticado usando um usuário de baixo impacto, mas também é o único sistema em nossa rede que não usa LDAPS.
Eu posso obter informações do AD sobre LDAPS usando o ldp.exe da minha máquina, nosso firewall, nosso filtro de e-mail, nossas caixas de linux, etc. O único problema é o Fiery.
Adicionei o certificado do servidor LDAP como um certificado confiável ao Fiery, mas depois de marcar a caixa de Comunicação segura e alterar a porta para 636, pressione Validar resultados em uma caixa de diálogo que diz: Servidor de falha na validação do LDAP Nome inválido ou servidor indisponível.
Eu tentei alterar o nome do servidor para usar apenas o nome, o FQDN e o endereço IP e alterá-lo para outro servidor, apenas para ver se era apenas esse servidor AD que era exigente com o Fiery.
EDIT: saída LDP removida, análise de captura de pacotes adicionada do wireshark:
A conversa parece bastante normal para mim, até o ponto em que o Fiery encerra a conexão depois que o servidor envia de volta uma resposta de handshake. Talvez eles tenham atrapalhado sua implementação de TLS? Eu estou tentando apoio, mas tem sido bastante inútil até agora. O certificado é um certificado SHA-2 (sha256RSA) de 2048 bits. Além disso, parece que o Fiery está especificando o TLS 1.0. Analisando o link , não estou vendo A combinação SHA256 e TLS 1.0 é suportada pelo SChannel. headdesk talvez por isso, após o DC alterar a especificação de criptografia, a conexão é encerrada pelo Fiery? O TLS 1.1 e 1.2 estão ativados no DC.
Conversa do Wireshark: DC: 172.17.2.22, Fiery: 172.17.2.42
No.Time Source Port Destination Port Protocol Length Info
1 0.000000000 172.17.2.42 48633 172.17.2.22 ldaps TCP 74 48633 > ldaps [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSval=3101761 TSecr=0 WS=4
2 0.000182000 Dell_5e:94:e3 Broadcast ARP 60 Who has 172.17.2.42? Tell 172.17.2.22
3 0.000369000 TyanComp_c9:0f:90 Dell_5e:94:e3 ARP 60 172.17.2.42 is at 00:e0:81:c9:0f:90
4 0.000370000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 74 ldaps > 48633 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 TSval=67970573 TSecr=3101761
5 0.000548000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [ACK] Seq=1 Ack=1 Win=5840 Len=0 TSval=3101761 TSecr=67970573
6 0.001000000 172.17.2.42 48633 172.17.2.22 ldaps TLSv1 147 Client Hello
7 0.001326000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 1514 [TCP segment of a reassembled PDU]
8 0.001513000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 1514 [TCP segment of a reassembled PDU]
9 0.001515000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [ACK] Seq=82 Ack=1449 Win=8736 Len=0 TSval=3101761 TSecr=67970573
10 0.001516000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [ACK] Seq=82 Ack=2897 Win=11632 Len=0 TSval=3101761 TSecr=67970573
11 0.001732000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 1514 [TCP segment of a reassembled PDU]
12 0.001737000 172.17.2.22 ldaps 172.17.2.42 48633 TLSv1 1243 Server Hello, Certificate, Certificate Request, Server Hello Done
13 0.001738000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [ACK] Seq=82 Ack=4345 Win=14528 Len=0 TSval=3101761 TSecr=67970573
14 0.001739000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [ACK] Seq=82 Ack=5522 Win=17424 Len=0 TSval=3101761 TSecr=67970573
15 0.002906000 172.17.2.42 48633 172.17.2.22 ldaps TLSv1 78 Certificate
16 0.004155000 172.17.2.42 48633 172.17.2.22 ldaps TLSv1 333 Client Key Exchange
17 0.004338000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 66 ldaps > 48633 [ACK] Seq=5522 Ack=361 Win=66304 Len=0 TSval=67970573 TSecr=3101762
18 0.004338000 172.17.2.42 48633 172.17.2.22 ldaps TLSv1 72 Change Cipher Spec
19 0.005481000 172.17.2.42 48633 172.17.2.22 ldaps TLSv1 327 Encrypted Handshake Message
20 0.005645000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 66 ldaps > 48633 [ACK] Seq=5522 Ack=628 Win=66048 Len=0 TSval=67970574 TSecr=3101762
21 0.010247000 172.17.2.22 ldaps 172.17.2.42 48633 TLSv1 125 Change Cipher Spec, Encrypted Handshake Message
22 0.016451000 172.17.2.42 48633 172.17.2.22 ldaps TCP 66 48633 > ldaps [FIN, ACK] Seq=628 Ack=5581 Win=17424 Len=0 TSval=3101765 TSecr=67970574
23 0.016630000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 66 ldaps > 48633 [ACK] Seq=5581 Ack=629 Win=66048 Len=0 TSval=67970575 TSecr=3101765
24 0.016811000 172.17.2.22 ldaps 172.17.2.42 48633 TCP 60 ldaps > 48633 [RST, ACK] Seq=5581 Ack=629 Win=0 Len=0
EDIT: revisamos esse problema depois que o patch recente de SCHANNEL e o POODLE solicitaram a alteração do nosso gerenciamento de codificação, e ainda estou tendo esse problema.
EDIT: endereçando a resposta do @ DTK:
CA raiz adicionada já. Readded para testar. O DC FQDN sendo usado, cert corresponde ao FQDN, resolve corretamente no DNS. O cliente pode acessar o DC usando o LDAP bem. Outros clientes alcançam o LDAPS no mesmo DC muito bem. DC suporta TLS 1.0, 1.1 e 1.2. Usando autenticação simples. Chave pública é RSA 2048 bit assinado com SHA256.
Aqui estão as cifras com suporte na ordem de criptografia para SCHANNEL de HKLM \ SOFTWARE \ Políticas \ Microsoft \ Criptografia \ Configuração \ SSL \ 00010002:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA