Сьогодні OpenLDAP потрібно налаштувати за допомогою ldapmodify cn = config, як описано тут . Але ніде я не можу знайти, як ви налаштовуєте його на прийняття лише трафіку TLS. Я щойно підтвердив, що наш сервер приймає незашифрований трафік (з ldapsearch та tcpdump).
Як правило, я б просто закрив не-SSL-порт із таблицями IP, але використання SSL-порту застаріло, мабуть, тому у мене немає такого варіанту.
Отже, з такими командами конфігурації SSL:
dn: cn=config
changetype:modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/bla.key
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/bla.crt
-
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/ca.pem
Чи є парам для примусового TLS?
Редагувати: я спробував olcTLSCipherSuite, але він не працює. Вихід з налагодження:
TLS: could not set cipher list TLSv1+RSA:!NULL.
main: TLS init def ctx failed: -1
slapd destroy: freeing system resources.
slapd stopped.
connections_destroy: nothing to destroy.
Edit2 (майже виправлено): мені вдалося виправити це завантаженням:
# cat force-ssl.tx
dn: cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1
Але тоді команди люблять
ldapmodify -v -Y EXTERNAL -H ldapi:/// -f /etc/ssl/tls-required.ldif
Більше не працюй ... І змінивши його на:
ldapmodify -v -x -D "cn=admin,dc=domain,dc=com" -H ldap://ldap.bla.tld/ -ZZ -W -f force-ssl.txt
дає мені "ldap_bind: Недійсні облікові дані (49)". Мабуть, незважаючи на те, що цей binddn вказаний як rootdn, я не можу використовувати його для зміни cn=config
. Чи можна це змінити?
TLS confidentiality required
повідомлення.