openldap支援tls/ssl?? - BBS

※ 引述《hihi (嗨嗨)》之銘言：
: 請問一下我參考下面的步驟
: http://helloworld.pixnet.net/blog/post/28898363
: 但是FreeBSD沒有listen 636 port，ldap://可以正常查詢
: 請問是否缺了甚麼步驟
: 或是缺少甚麼套件

openldap 有兩種支援 tls/ssl 的方式
第一種是 starttls，先連到未加密的 port (預設是 389)
然後用 starttls 指令進入加密
第二種是 ldaps，從一開始連線就進入加密

雖然 openldap 兩種都支援，不過一般建議用 starttls 不要用 ldaps。

636 port 是 ldaps 的 port，如果沒有指定要開 ldaps 就不會開這個 port
ldaps:// 沒開並不代表沒有加密
走 ldap:// 一樣可以透過 starttls 進行加密

: 再請問server支援tls/ssl的話，client需要調整甚麼??

看什麼 client 吧，不同 client 語法可能不同

一般來說要設定對應 server 的加密方式 (starttls or ldaps)
然後要指定 cert 的 path
例如

# ldaps
uri ldaps://ldap-host/

# starttls
uri ldap://ldap-host/
ssl start_tls

tls_reqcert never
tls_cacertfile path-to-ca-cert

: thanks!

--