El siguiente error se presenta a partir de RHEL 7.4 (y al parecer también 6.9) cuando se intenta acceder por SSH utilizando un usuario de LDAP, pudiendo afectar incluso también a las llamadas de sudo:
Could not start TLS encryption. TLS error -12173:SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake message.
La información detallada se encuentra en estas dos entradas de bugzilla:
- RHEL 6.9 ( bz 1335919)
- RHEL 7.4 ( 1335920)
Básicamente es una medida de seguridad de los clientes NSS que utilizan TLS, no permitiendo conexiones con menos cifrado de 1024-bit DH. La finalidad, evitar ataques tipo LOGJAM. Para hacer bypass de esta medida de seguridad, y permitir las conexiones, es necesario reducir las medidas de seguridad en /etc/pki/nss-legacy/nss-rhel6.config para RHEL 6 ó /etc/pki/nss-legacy/nss-rhel7.config para RHEL 7:
library=
name=Policy
NSS=flags=policyOnly,moduleDB
config="allow=DH-MIN=767:DSA-MIN=767:RSA-MIN=767"
Sobre todo incluid la línea en blanco al final del archivo, es necesaria.