आजकल, OpenLDAP को ldapmodify cn = config के साथ कॉन्फ़िगर करने की आवश्यकता है, जैसा कि यहां वर्णित है । लेकिन कहीं भी मैं यह नहीं पा सकता कि आप इसे केवल टीएलएस ट्रैफ़िक स्वीकार करने के लिए कैसे कॉन्फ़िगर करते हैं। मैंने अभी पुष्टि की है कि हमारा सर्वर अनएन्क्रिप्टेड ट्रैफ़िक (ldapsearch और tcpdump के साथ) को स्वीकार करता है।
आम तौर पर, मैं सिर्फ गैर-एसएसएल पोर्ट को आईपी तालिकाओं के साथ बंद कर दूंगा, लेकिन एसएसएल पोर्ट का उपयोग करते हुए पदावनत किया जाता है, जाहिरा तौर पर, इसलिए मेरे पास वह विकल्प नहीं है।
तो, SSL विन्यास कमांड के साथ, इस तरह:
dn: cn=config
changetype:modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/bla.key
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/bla.crt
-
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/ca.pem
क्या टीएलएस मजबूर करने के लिए एक परम है?
संपादित करें: मैंने olcTLSCipherSuite की कोशिश की, लेकिन यह काम नहीं करता है। डिबग आउटपुट:
TLS: could not set cipher list TLSv1+RSA:!NULL.
main: TLS init def ctx failed: -1
slapd destroy: freeing system resources.
slapd stopped.
connections_destroy: nothing to destroy.
Edit2 (लगभग तय): मैं इसे लोड करके ठीक करने में सक्षम था:
# cat force-ssl.tx
dn: cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1
लेकिन फिर जैसी आज्ञा
ldapmodify -v -Y EXTERNAL -H ldapi:/// -f /etc/ssl/tls-required.ldif
अब और काम मत करो ... और इसे बदलने के लिए:
ldapmodify -v -x -D "cn=admin,dc=domain,dc=com" -H ldap://ldap.bla.tld/ -ZZ -W -f force-ssl.txt
मुझे "ldap_bind: अमान्य क्रेडेंशियल्स (49)" देता है। जाहिर है, भले ही यह binddn rootdn के रूप में निर्दिष्ट किया गया हो, मैं इसे बदलने के लिए उपयोग नहीं कर सकता cn=config
। क्या इसे बदला जा सकता है?
TLS confidentiality required
संदेश के साथ प्रतिक्रिया करता है ।