오늘날 OpenLDAP는 여기에 설명 된대로 ldapmodify cn = config로 구성해야합니다 . 그러나 TLS 트래픽 만 허용 하도록 구성하는 방법을 찾을 수 없습니다 . 방금 서버에서 암호화되지 않은 트래픽 (ldapsearch 및 tcpdump 사용)을 허용 함을 확인했습니다.
일반적으로 IP 테이블로 비 SSL 포트를 닫을 것이지만 SSL 포트 사용은 더 이상 사용되지 않으므로 분명히 해당 옵션이 없습니다.
따라서 다음과 같이 SSL 구성 명령을 사용하십시오.
dn: cn=config
changetype:modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/bla.key
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/bla.crt
-
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/ca.pem
TLS를 강제하는 매개 변수가 있습니까?
편집 : olcTLSCipherSuite를 시도했지만 작동하지 않습니다. 디버그 출력 :
TLS: could not set cipher list TLSv1+RSA:!NULL.
main: TLS init def ctx failed: -1
slapd destroy: freeing system resources.
slapd stopped.
connections_destroy: nothing to destroy.
Edit2 (거의 고정) :로드하여 수정할 수있었습니다.
# cat force-ssl.tx
dn: cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1
그러나 다음과 같은 명령
ldapmodify -v -Y EXTERNAL -H ldapi:/// -f /etc/ssl/tls-required.ldif
더 이상 작동하지 않습니다 ... 그리고 그것을 다음으로 변경하십시오 :
ldapmodify -v -x -D "cn=admin,dc=domain,dc=com" -H ldap://ldap.bla.tld/ -ZZ -W -f force-ssl.txt
"ldap_bind : 잘못된 자격 증명 (49)"이 표시됩니다. 분명히이 binddn이 rootdn으로 지정되어 있지만 그것을 변경하는 데 사용할 수는 없습니다 cn=config
. 변경할 수 있습니까?
TLS confidentiality required
메시지로 응답 합니다.