Estou usando o slapd no Debian / Squeeze e tentando configurar o sistema para permitir somente conexões criptografadas por TLS usando o STARTTLS na porta 389.
Então eu configurei meu / etc / default / slapd para escutar na porta 389:
SLAPD_SERVICES="ldap://:389/"
Gerei um certificado e habilitei o TLS adicionando as seguintes entradas ao /etc/ldap/slap.d/cn=config.ldif
olcTLSCertificateFile: /etc/ssl/openldap/ca-cert.pem
olcTLSCertificateKeyFile: /etc/ssl/openldap/ca-key.pem
E finalmente adicionei um /etc/ldap/slapd.conf com o seguinte conteúdo:
security tls=256
Com essa configuração, posso executar conexões criptografadas por TLS usando:
ldapsearch -ZZ -H ldap://127.0.0.1:389 -D "cn=admin,dc=example,dc=net" -w "password"
Mas, além disso, as conexões não criptografadas ainda funcionam usando:
ldapsearch -H ldap://127.0.0.1:389 -D "cn=admin,dc=example,dc=net" -w "password"
Do meu ponto de vista, parece que a diretiva de segurança em /etc/ldap/slapd.conf não é usada. Além disso, quando tento converter o slapd.conf para o formato de configuração cn = config, posso ver claramente que a diretiva de segurança não está incluída nos arquivos de configuração cn = config resultantes.
Alguém sabe o que está acontecendo lá e como alterar a configuração para proibir conexões não criptografadas?
Você declarou que todas as conexões de tls devem ter uma força de 256.
Você não declarou nada sobre outros tipos de conexão.
Talvez você quisesse security minssf=256 ?
man slapd.conf sections sasl-secprops e security para mais informações.
Eu descobri que o problema é que eu tenho um formato de configuração em estilo cn = config (eu sabia disso), mas eu achei que /etc/ldap/slapd.conf seria usado também. Com a entrada adicional olcSecurity: tls=128 in /etc/ldap/slapd.d/cn=config.ldif , tudo funciona como esperado.