Mit den neuen Updates hat VMware in vielen Stellen ein paar Cipher Methoden deaktiviert. Hier den Fix für ldaps und vRLI 8.4.
Im Fall von VMware Loginsight müssen für Java ein paar Cipher wieder aktiviert werden.
vi /usr/java/jre-vmware/lib/security/java.security
Hier mal der Auszug aus VMware Loginsight 8.3
jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, DH, DHE, \
EC keySize < 224, 3DES_EDE_CBC, anon, NULL, RSA keySize < 512, DESede, TLSv1, TLSv1.1, \
TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256
Hier der Auszug aus VMware Loginsight 8.4
jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, DH, DHE, \
EC keySize < 224, 3DES_EDE_CBC, anon, NULL, RSA keySize < 512, DESede, TLSv1, TLSv1.1, \
TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, \
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, \
TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256,
Darin findet man nun den Unterschied und diesen Unterschied entfernen wir nun, aber am Besten ist natürlich, wenn man nur den Eintrag entfernt, welcher notwendig ist.
, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, \
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, \
TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256,
Geht auch bequem über sed
sed -i 's/ TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256,//g' /usr/java/jre-vmware/lib/security/java.security
sed -i 's/ TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, \\//g' /usr/java/jre-vmware/lib/security/java.security
sed -i 's/ TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, \\/ TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256,/g' /usr/java/jre-vmware/lib/security/java.security
Danach folgt der Neustart vom VMware Loginsight:
service loginsight restart
Und nun klappt auch wieder mit der Active Directory Anbindung.