Proxmox AD Authentication: wrong ssl version

Wer für die Authentifizierung bei Proxmox VE auf eine AD-Authentication setzt, ist möglicherweise in den letzten Tagen auf folgendes Problem gestoßen, nachdem das Paket pve-access-control auf die neueste Version aktualisiert wurde:

pvedaemon[31961]: authentication failure; rhost=IP user=user@domain msg=SSL connect attempt failed error:1425F10A:SSL routines:ssl_choose_client_version:wrong ssl version

Getroffen hat das Problem aber nicht alle und es wurde seitens der Proxmox Entwickler nun eine schönere Lösung geschaffen. Dafür ist allerdings eine Anpassung an der Konfiguration notwendig.

Wer ist davon betroffen?

Mit Debian 10 Buster hatte man die mindestens erforderliche TLS-Version von TLSv1 auf TLSv1.2 heraufgesetzt. Wenn man nun noch einen Domain Controller eingesetzt hat, der noch nicht mit den höheren TLS-Versionen umgehen kann, hatte man nach dem Update auf Debian 10 Buster bzw. mit Version 6 von Proxmox, die auf Debian Buster setzt, eine nicht mehr funktionierende AD-Anmeldung.

Als Workaround konnte man dann in der /etc/ssl/openssl.cnf den Wert für MinProtocol von TLSv1.2 auf TLSv1 ändern. Das ist zwar eine unschöne Lösung, da diese systemweit gilt, war aber in Anbetracht, dass Proxmox noch keine eigene Option mitgebracht hat, so ziemlich die einfachste Option, um das vorherige Verhalten wiederherzustellen. Generell wäre auch eher ein Update der Domain Controller zu empfehlen, denn TLS 1.2 sollte es heute mindestens schon sein, aber häufig sind solche Umstellungen nicht auf die Schnelle durchführbar.

Um die Geschichte nun etwas schöner zu lösen, haben die Proxmox Entwickler eine neue Option implementiert. Diese taucht zum jetzigen Zeitpunkt zwar noch nicht in der WebGUI auf, lässt sich aber in der Konfigurationsdatei /etc/pve/domains.cfg setzen, welche die Anmeldemöglichkeiten definiert. Hinzugekommen ist hier nun die Option „sslversion“, womit die zu verwendende TLS-Version festgelegt werden kann. Ist kein Wert gesetzt, so wird TLS 1.2 verwendet. Eine Beispielkonfiguration würde also so aussehen:

ad: contoso.com
	domain contoso.com
	server1 dc.contoso.com
	default 1
	secure 1
	sslversion tlsv1

Gesetzt werden kann hier tlsv1, tlsv1_1 oder tlsv1_2, wobei letzteres eben der Standard-Wert ist, wenn sslversion nicht gesetzt ist.

Schreibe einen Kommentar

Required fields are marked *.