数カ月前にSSLv3のPOODLE脆弱性が話題になりましたが、その時にLDAPサーバのSSL設定について対処をした際の話です。ネットで検索すると、"TLSProtocolMin" を設定する方法が出てくるんですが、実はその方法は「SSLライブラリにOpenSSLを使っている場合」に使える方法で、「SSLライブラリにGnuTLSを使っている場合」には使えません。
ちなみにOpenSSLとGnuTLSの違いについてですが、OpenSSLのライセンスはGPL互換ではなく、GPLのソフトウェアにはOpenSSLを使えなかったために開発されたのがGnuTLS、ってことらしいです。
ともあれ、Debianの公式パッケージで提供されるOpenLDAP(slapd)はGnuTLSを使っており、"TLSProtocolMin" を設定する方法ではSSLv3を無効にできません。
GnuTLSの場合、設定すべき項目は "TLSCipherSuite" です。この項目に ":-VERS-SSL3.0" を付加すればよいです。slapd.confを変更後はslapdを再起動します。
設定例:
/etc/openldap/slapd.conf
TLSCipherSuite: SECURE256:-VERS-SSL3.0
あるいは、on-line configuration (OLC)を使用している場合、下記内容のLDIFファイルをインポートします。
dn: cn=config
changetype: modify
add: olcTLSCipherSuite
olcTLSCipherSuite: SECURE256:-VERS-SSL3.0
これでSSLv3が無効になります。
※参考1 → http://myatus.com/p/quick-note-disable-sslv3-openldap-gnutls/
※参考2 → http://www.gnutls.org/security.html