%20%D0%BF%D1%80%D0%B8%D0%BD%D1%83%D0%B4%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE%20%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D1%8C%20SSL%20%D0%B8%D0%BB%D0%B8%20STARTTLS%20%D0%B2%20OpenLDAP%3F.png)
Мне удалось успешно настроить OpenLDAP (который является вариантом Apple Open Directory, но это не имеет значения) для работы как с SSL (ldaps на порту 636), так и с STARTTLS (на порту 389).
Однако клиент все еще может подключиться без шифрования, и я пытаюсь это отключить. Признаюсь, у меня очень ограниченные знания OpenLDAP.
Основываясь на этомэтот ответиэтот урок, я попробовал это с
dn: olcDatabase={1}bdb,cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1
После того, как я применил это к своему ldap, попытки подключиться без STARTTLS действительно были отклонены. Однако я не смог больше аутентифицироваться, получая
LDAP: error code 50 - Insufficient Access Rights
Анонимный доступ работает, но при проверке аутентификации пользователя я получаю ту же ошибку, что и выше.
После того, как я отменяю изменения (= удаляю запись olcSecurity), все возвращается на круги своя.
Похоже, мои изменения повлияли на авторизацию доступа, но я не понимаю, как это связано и что может быть не так.