使用TLSconfigurationOpenLDAP =必需

如今，OpenLDAP需要使用ldapmodify cn = config进行configuration，如下所述。 但是无处可查我们如何configuration它只接受TLSstream量。 我刚刚确认我们的服务器接受未encryption的stream量（使用ldapsearch和tcpdump）。

通常情况下，我只是closures与IP表的非SSL端口，但使用SSL端口已被弃用，显然，所以我没有这个选项。

所以，使用SSLconfiguration命令，像这样：

dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem 

有没有强制TLS的参数？

• 设置LDAP进行开发testing的最简单的方法
• 如何在科学Linux上获得ldapsearch？
• 如何在Windows上的DNS中findLDAP服务器？
• 如何在Apache LDAP中对嵌套组中的用户进行身份validation？
• 如何在OpenLDAP服务器上configuration反向组成员资格维护？ （成员）

编辑：我试过olcTLSCipherSuite，但它不起作用。 debugging输出：

 TLS: could not set cipher list TLSv1+RSA:!NULL. main: TLS init def ctx failed: -1 slapd destroy: freeing system resources. slapd stopped. connections_destroy: nothing to destroy. 

Edit2（几乎修复）：我能够通过加载来修复它：

 # cat force-ssl.tx dn: cn=config changetype: modify add: olcSecurity olcSecurity: tls=1 

但是然后命令就像

 ldapmodify -v -Y EXTERNAL -H ldapi:/// -f /etc/ssl/tls-required.ldif 

不要工作了…并将其更改为：

 ldapmodify -v -x -D "cn=admin,dc=domain,dc=com" -H ldap://ldap.bla.tld/ -ZZ -W -f force-ssl.txt 

给我“ldap_bind：无效的凭据（49）”。 显然，即使这个binddn被指定为rootdn，我也不能用它来改变cn=config 。 可以改变吗？

 dn: olcDatabase={1}hdb,cn=config changetype: modify add: olcSecurity olcSecurity: tls=1 

 ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config 

 dn: cn=config changetype: modify replace: olcTLSCipherSuite olcTLSCipherSuite: ALL:!NULL 

 dn: cn=config changetype: modify replace: olcTLSCipherSuite olcTLSCipherSuite: TLS_RSA_CAMELLIA_128_CBC_SHA1:TLS_RSA_CAMELLIA_256_CBC_SHA1:!NULL 

 dn: cn=config changetype: modify replace: olcTLSCipherSuite olcTLSCipherSuite: HIGH:+SSLv3:+TLSv1:MEDIUM:+SSLv2:@STRENGTH:+SHA:+MD5:!NULL