Estou usando o slapd no Debian / Squeeze e tentando configurar o sistema para permitir somente conexões criptografadas por TLS usando o STARTTLS na porta 389.
Então eu configurei meu / etc / default / slapd para escutar na porta 389:
SLAPD_SERVICES="ldap://:389/"
Gerei um certificado e habilitei o TLS adicionando as seguintes entradas ao /etc/ldap/slap.d/cn=config.ldif
olcTLSCertificateFile: /etc/ssl/openldap/ca-cert.pem
olcTLSCertificateKeyFile: /etc/ssl/openldap/ca-key.pem
E finalmente adicionei um /etc/ldap/slapd.conf com o seguinte conteúdo:
security tls=256
Com essa configuração, posso executar conexões criptografadas por TLS usando:
ldapsearch -ZZ -H ldap://127.0.0.1:389 -D "cn=admin,dc=example,dc=net" -w "password"
Mas, além disso, as conexões não criptografadas ainda funcionam usando:
ldapsearch -H ldap://127.0.0.1:389 -D "cn=admin,dc=example,dc=net" -w "password"
Do meu ponto de vista, parece que a diretiva de segurança em /etc/ldap/slapd.conf não é usada. Além disso, quando tento converter o slapd.conf para o formato de configuração cn = config, posso ver claramente que a diretiva de segurança não está incluída nos arquivos de configuração cn = config resultantes.
Alguém sabe o que está acontecendo lá e como alterar a configuração para proibir conexões não criptografadas?