LDAP: SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake

El siguiente error se presenta a partir de RHEL 7.4 (y al parecer también 6.9) cuando se intenta acceder por SSH utilizando un usuario de LDAP, pudiendo afectar incluso también a las llamadas de sudo:

Could not start TLS encryption. TLS error -12173:SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake message.

La información detallada se encuentra en estas dos entradas de bugzilla:

Básicamente es una medida de seguridad de los clientes NSS que utilizan TLS, no permitiendo conexiones con menos cifrado de 1024-bit DH. La finalidad, evitar ataques tipo LOGJAM. Para hacer bypass de esta medida de seguridad, y permitir las conexiones, es necesario reducir las medidas de seguridad en /etc/pki/nss-legacy/nss-rhel6.config para RHEL 6 ó /etc/pki/nss-legacy/nss-rhel7.config para RHEL 7:

    library=
    name=Policy
    NSS=flags=policyOnly,moduleDB
    config="allow=DH-MIN=767:DSA-MIN=767:RSA-MIN=767"

Sobre todo incluid la línea en blanco al final del archivo, es necesaria.