%20die%20Verwendung%20von%20SSL%20oder%20STARTTLS%20in%20OpenLDAP%3F.png)
Ich habe es erfolgreich geschafft, mein OpenLDAP (eine Variante von Apple Open Directory, aber das sollte keine Rolle spielen) so zu konfigurieren, dass es sowohl mit SSL (LDAPs auf Port 636) als auch mit STARTTLS (auf Port 389) funktioniert.
Es ist jedoch immer noch möglich, dass ein Client eine Verbindung ohne Verschlüsselung herstellt, und ich versuche, dies zu deaktivieren. Zugegebenermaßen habe ich nur sehr begrenzte Kenntnisse über OpenLDAP.
Basierend aufdiese AntwortUnddieses Tutorial, ich habe es versucht mit
dn: olcDatabase={1}bdb,cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1
Nachdem ich dies auf mein LDAP angewendet hatte, wurden Verbindungsversuche ohne STARTTLS tatsächlich abgelehnt. Ich konnte mich jedoch nicht mehr authentifizieren und erhielt
LDAP: error code 50 - Insufficient Access Rights
Der anonyme Zugriff funktioniert, aber wenn ich die Authentifizierung eines Benutzers teste, erhalte ich den gleichen Fehler wie oben.
Sobald ich meine Änderungen rückgängig mache (= den olcSecurity-Eintrag lösche), ist alles wieder normal.
Es sieht so aus, als ob meine Änderung die Zugriffsberechtigung beeinflusst hat, aber ich verstehe nicht, wie das zusammenhängt und was falsch sein könnte.