openldap支援tls/ssl?? - BBS

※ 引述《hihi (嗨嗨)》之銘言：
: 請問一下我參考下面的步驟
: http://helloworld.pixnet.net/blog/post/28898363
: 但是FreeBSD沒有listen 636 port，ldap://可以正常查詢
: 請問是否缺了甚麼步驟
: 或是缺少甚麼套件
: 再請問server支援tls/ssl的話，client需要調整甚麼??
: thanks!

/etc/rc.conf 要補一下 slapd_flags：
slapd_enable="YES"
slapd_flags='-h "ldap://xxx.yyy.zzz/ ldaps://xxx.yyy.zzz/"'
xxx.yyy.zzz 換成你自己的。

slapd.conf 我是這樣設：
TLSCipherSuite HIGH:MEDIUM:+SSLv2:+SSLv3:TLSv1
TLSCACertificateFile /usr/local/etc/openldap/tls/xxxx.crt
TLSCertificateFile /usr/local/etc/openldap/tls/xxxxxxx.crt
TLSCertificateKeyFile /usr/local/etc/openldap/tls/xxxxxxx.key
TLSVerifyClient never

第一行跟最後一行不這樣設的話，某些狀況下會發生一些問題。
原因我忘了，你也可以自己試試看拔掉或換成別的會怎樣。

client 端的 ldap.conf 我習慣這樣設：
ssl start_tls
tls_checkpeer no
tls_reqcert allow

這樣玩至少五年以上了，沒有出過什麼大問題。
倒是 make openldap24-server 的時候，那個 SASL 勾下去會有災難。
記得是 run 一陣子 slapd 會自己無聲無息 crash 的樣子，所以習慣不勾。
其它好像就沒什麼特別要注意的了。

--
Ling-hua Tseng ([email protected])
Department of Computer Science, National Tsing-Hua University
Interesting: C++, Compiler, PL/PD, OS, VM, Large-scale software design
Researching: Software pipelining for VLIW architectures
Homepage: http://www.tinlans.org

--