Änderungen in der SSL-Protokollversion nach FortiOS 6.0.4 Update

Sie haben auf ihrem FortiGate ein LDAP Server Profil konfiguriert und dieses funktioniert seit dem Update zu FortiOS 6.0.4 nicht mehr wie erwartet? Erhalten Sie im SSL VPN Log möglicherweise ebenfalls die Meldung “sslvpn_login_unknown_user”? Ihre Benutzer können nicht mehr über POP3 verifiziert werden? Dann sind sie hier genau richtig…

Seit dem FortiOS Release 6.0.4 werden für LDAP Verbindungen einige SSL Versionen als veraltet angesehen und deaktiviert. Falls sie diese auf ihren LDAP Servern noch einsetzen, empfehlen wir, diese durch aktuelle zu ersetzen. Meistens muss jedoch nach einem Update eine schnelle Lösung her. In diesem Fall wäre dies, der FortiGate auch die alten SSL Profile wieder zur Verwendung zu erlauben. Dies können sie wie folgt tun:

config user ldap
edit "test"
set ssl-min-proto-version SSLv3
next
end

Folgende Möglichkeiten haben sie:

SSLv3 SSLv3.
TLSv1 TLSv1.
TLSv1-1 TLSv1.1.
TLSv1-2 TLSv1.2.

Selbstverständlich kann LDAP auch plaintext übertragen werden. Dann tritt das Problem ebenfalls nicht mehr auf. Wir raten aber dringend davon ab, LDAP ohne Transportsicherheit zu verwenden.

Weitere Informationen

Fortinet hat diese Information übrigens auch in den Release Notes auf Seite 11 erwähnt:

Für eine verbesserte Sicherheit verwendet FortiOS 6.0.4 die Option ssl-min-proto-version (unter config system global), um die minimale SSL-Protokollversion zu kontrollieren, die bei der Kommunikation zwischen FortiGate und SSL- und TLS-Diensten von Drittanbietern verwendet wird.
Wenn Sie auf FortiOS 6.0.4 und höher aktualisieren, ist die Standardoption ssl-min-proto-version TLS v1.2. Die folgenden SSL- und TLS-Dienste erben globale Einstellungen, um TLS v1.2 als Standard zu verwenden (Sie können diese Einstellungen überschreiben):
Email server (

config system email-server

)
Certificate (

config vpn certificate setting

)
FortiSandbox (

config system fortisandbox

)
FortiGuard (

config log fortiguard setting

)
FortiAnalyzer (

config log fortianalyzer setting

)
LDAP server (

config user ldap

)
POP3 server (

config user pop3

)