slapd com STARTTLS só não funciona

1

Estou usando o slapd no Debian / Squeeze e tentando configurar o sistema para permitir somente conexões criptografadas por TLS usando o STARTTLS na porta 389.

Então eu configurei meu / etc / default / slapd para escutar na porta 389:

SLAPD_SERVICES="ldap://:389/"

Gerei um certificado e habilitei o TLS adicionando as seguintes entradas ao /etc/ldap/slap.d/cn=config.ldif

olcTLSCertificateFile: /etc/ssl/openldap/ca-cert.pem
olcTLSCertificateKeyFile: /etc/ssl/openldap/ca-key.pem

E finalmente adicionei um /etc/ldap/slapd.conf com o seguinte conteúdo:

security tls=256

Com essa configuração, posso executar conexões criptografadas por TLS usando:

ldapsearch -ZZ -H ldap://127.0.0.1:389 -D "cn=admin,dc=example,dc=net" -w "password"

Mas, além disso, as conexões não criptografadas ainda funcionam usando:

ldapsearch -H ldap://127.0.0.1:389 -D "cn=admin,dc=example,dc=net" -w "password"

Do meu ponto de vista, parece que a diretiva de segurança em /etc/ldap/slapd.conf não é usada. Além disso, quando tento converter o slapd.conf para o formato de configuração cn = config, posso ver claramente que a diretiva de segurança não está incluída nos arquivos de configuração cn = config resultantes.

Alguém sabe o que está acontecendo lá e como alterar a configuração para proibir conexões não criptografadas?

    
por Daniel 04.11.2011 / 11:25

2 respostas

2

Você declarou que todas as conexões de tls devem ter uma força de 256.
Você não declarou nada sobre outros tipos de conexão.

Talvez você quisesse security minssf=256 ?

man slapd.conf sections sasl-secprops e security para mais informações.

    
por 04.11.2011 / 17:27
1

Eu descobri que o problema é que eu tenho um formato de configuração em estilo cn = config (eu sabia disso), mas eu achei que /etc/ldap/slapd.conf seria usado também. Com a entrada adicional olcSecurity: tls=128 in /etc/ldap/slapd.d/cn=config.ldif , tudo funciona como esperado.

    
por 11.11.2011 / 09:02