openldap diretório simbólico do diretório cacerts para / etc / pki / tls / certs - Sim / Não? Por quê?

Não específico para o openldap, isso geralmente é feito por motivos de segurança:

• o pacote de software em questão pode fazer um chroot em seu próprio diretório em /etc , e então seria incapaz de seguir quaisquer links simbólicos fora da raiz alterada

• o software pode ser programado de forma a proibi-lo especificamente de seguir qualquer tipo de link simbólico em primeiro lugar

Tudo é feito para garantir que qualquer tipo de exploração seja limitada e isolada a um software, e o adversário teria mais dificuldade em acessar arquivos arbitrários no sistema de arquivos.

Não importa onde você coloca certificados regulares, certificados de CA e chaves privadas, desde que o aplicativo em questão e a biblioteca de criptografia usada possam ler e entender os arquivos. Várias limitações podem estar em vigor dependendo se sua aplicação (OpenLDAP / slapd no seu caso) está vinculada ao OpenSSL ou ao GnuTLS. Também pode haver limitações artificiais no próprio aplicativo ou impostas por estruturas de segurança como o AppArmor ou o SELinux.

Por exemplo, no Ubuntu 12.04 LTS (servidor), o daemon libvirt, que procura seus certificados de CA em /etc/pki/CA/cacerts.pem , parece não tolerar quando esse arquivo é maior que alguns kilobytes. Portanto, não é possível apenas alimentá-lo com a lista de certificados de CA confiáveis em todo o sistema encontrados em /etc/ssl/certs/ca-certificates.crt (no CentOS, o equivalente é /etc/pki/tls/certs/ca-bundle.crt , como você mencionou). Eu acho que isso é uma limitação do GnuTLS (um dos muitos).

Como eu disse: depende da aplicação em questão, da biblioteca de criptografia usada e das possíveis estruturas de segurança implementadas. Você só pode tentar e ver o que funciona e o que não funciona.