※ 引述《hihi (嗨嗨)》之銘言:
: 請問一下我參考下面的步驟
: http://helloworld.pixnet.net/blog/post/28898363
: 但是FreeBSD沒有listen 636 port,ldap://可以正常查詢
: 請問是否缺了甚麼步驟
: 或是缺少甚麼套件
openldap 有兩種支援 tls/ssl 的方式
第一種是 starttls,先連到未加密的 port (預設是 389)
然後用 starttls 指令進入加密
第二種是 ldaps,從一開始連線就進入加密
雖然 openldap 兩種都支援,不過一般建議用 starttls 不要用 ldaps。
636 port 是 ldaps 的 port,如果沒有指定要開 ldaps 就不會開這個 port
ldaps:// 沒開並不代表沒有加密
走 ldap:// 一樣可以透過 starttls 進行加密
: 再請問server支援tls/ssl的話,client需要調整甚麼??
看什麼 client 吧,不同 client 語法可能不同
一般來說要設定對應 server 的加密方式 (starttls or ldaps)
然後要指定 cert 的 path
例如
# ldaps
uri ldaps://ldap-host/
# starttls
uri ldap://ldap-host/
ssl start_tls
tls_reqcert never
tls_cacertfile path-to-ca-cert
: thanks!
--
: 請問一下我參考下面的步驟
: http://helloworld.pixnet.net/blog/post/28898363
: 但是FreeBSD沒有listen 636 port,ldap://可以正常查詢
: 請問是否缺了甚麼步驟
: 或是缺少甚麼套件
openldap 有兩種支援 tls/ssl 的方式
第一種是 starttls,先連到未加密的 port (預設是 389)
然後用 starttls 指令進入加密
第二種是 ldaps,從一開始連線就進入加密
雖然 openldap 兩種都支援,不過一般建議用 starttls 不要用 ldaps。
636 port 是 ldaps 的 port,如果沒有指定要開 ldaps 就不會開這個 port
ldaps:// 沒開並不代表沒有加密
走 ldap:// 一樣可以透過 starttls 進行加密
: 再請問server支援tls/ssl的話,client需要調整甚麼??
看什麼 client 吧,不同 client 語法可能不同
一般來說要設定對應 server 的加密方式 (starttls or ldaps)
然後要指定 cert 的 path
例如
# ldaps
uri ldaps://ldap-host/
# starttls
uri ldap://ldap-host/
ssl start_tls
tls_reqcert never
tls_cacertfile path-to-ca-cert
: thanks!
--
All Comments