Isso é obtido com a opção TLSCipherSuite . Um exemplo está documentado no capítulo de segurança do LDAP do livro OpenLDAP Zytrax . Com ele, você pode informar ao OpenLDAP os conjuntos de criptografia que seu servidor aceitará. Por exemplo, você pode dizer que não deseja um conjunto de cifras NULL
(ou seja, sessão não criptografada).
Tenha cuidado, pois o OpenLDAP pode ser vinculado a bibliotecas OpenSSL ou GnuTLS. Aqueles usam diferentes listas de criptografia para descrever seu suporte de criptografia. A lista de códigos OpenSSL pode ser obtida com um comando como openssl ciphers -v
e a lista GnuTLS com gnutls-cli -l
.
A maneira mais simples de desativar a conexão sem criptografia seria:
dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: ALL:!NULL
Uma restrição mais específica usando a sintaxe do GnuTLS :
dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: TLS_RSA_CAMELLIA_128_CBC_SHA1:TLS_RSA_CAMELLIA_256_CBC_SHA1:!NULL
Um exemplo mais completo pode ser (usando sintaxe OpenSSL ):
dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: HIGH:+SSLv3:+TLSv1:MEDIUM:+SSLv2:@STRENGTH:+SHA:+MD5:!NULL
Há uma discussão na lista de discussão do OpenLDAP que vale a pena ser lida sobre uma questão semelhante .
Também vale a pena notar que as ferramentas cli do OpenLDAP, como ldapsearch
, estão mudando automaticamente para o TLS ao se conectar a um servidor que proíbe as conexões não criptografadas. Isso significa que você não precisa adicionar -Z
à lista de argumentos.