Como ver a cifra TLS de uma conexão openldap?

Nossos servidores OpenLDAP executam a versão em EL6. O OpenLDAP é construído com base nas bibliotecas do Mozilla Network Security Services (NSS). Nossos clientes LDAP vêm de uma ampla variedade de sistemas Unix e Linux.

Não conseguimos que as conexões OpenLDAP funcionem para clientes ou replicação quando usamos nossas cifras TLS preferidas.

Por exemplo, se usarmos a lista de cifras disponíveis mais fortes da Red Hat , como esta:

# /etc/openldap/slapd.conf
TLSProtocolMin 3.2
TLSCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL

As conexões do cliente falham porque não atendem ao nosso requisito de ACL para um fator de força de segurança (SSF) mínimo:

slapd[22887]: conn=1022 fd=20 ACCEPT from IP=192.168.100.101:35936 (IP=192.168.100.100:636)
slapd[22887]: conn=1022 fd=20 TLS established tls_ssf=128 ssf=128
...
slapd[22887]: <= check a_authz.sai_ssf: ACL 256 > OP 128

Como posso ver qual cifra está sendo usada para esta conexão para que eu possa eliminá-la da lista?

Se desabilitarmos a lista de cifras e usarmos os padrões fornecidos pelo OpenLDAP + NSS, funciona:

# /etc/openldap/slapd.conf
TLSProtocolMin 3.2
# TLSCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL


slapd[6020]: conn=1003 fd=20 ACCEPT from IP=192.168.100.101:35936 (IP=192.168.100.100:636)
slapd[6020]: conn=1003 fd=20 TLS established tls_ssf=256 ssf=256

No entanto, a lista padrão é inaceitável porque inclui algumas cifras fracas que nossa equipe de segurança não deseja, como as cifras RC4-SHA e RC4-MD5.

Estamos cientes de que EL6 está se tornando EOL até o final do ano. Esse é um problema diferente.