首頁>Linux>source

我没有解釋如何在服務器上配置tls-ldap,在Google上有很多东西可以對其进行配置(建立tls證书,建立ldif,匯入ldif,尝試ldapsearch -zz等)。 也很容易从服務器強製執行tls,因此拒绝没有-z或-zz的連線

ldapsearch -LLL -D "cn=ldapadm,dc=ldap1,dc=mydom,dc=priv" -wPASSWORD -b dc=ldap1,dc=mydom,dc=priv uidNumber=10009 uidNumber
ldap_bind: Confidentiality required (13)
    additional info: TLS confidentiality required

在ldapsearch中使用-z可以

ldapsearch -Z -LLL -D "cn=ldapadm,dc=ldap1,dc=mydom,dc=priv" -wPASSWORD -b dc=ldap1,dc=mydom,dc=priv uidNumber=10009 uidNumber
dn: sambaSID=S-1-5-21-38458588-165473958-13245875-1289,ou=idmap,dc=ldap1,dc=mydom,dc=priv
uidNumber: 10009

我在服務器上使用此ldif強製執行了TLS

dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1

現在的問题是,即使使用tls強製,也可以从局域網中窃取密碼

我不帶-z執行命令,連線被拒绝

ldapsearch -LLL -D "cn=ldapadm,dc=ldap1,dc=mydom,dc=priv" -wPASSWORD -b dc=ldap1,dc=mydom,dc=priv uidNumber=10009 uidNumber
ldap_bind: Confidentiality required (13)
    additional info: TLS confidentiality required

但是tcpdump可以看到密碼!

tcpdump -i any port 389 -vvv -Xx|egrep --colour cn= -A 11
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
    blah blah blah blah blah blah blah blah blah blah  .`7...."cn=ldapa
    blah blah blah blah blah blah blah blah blah blah  dm,dc=ldap1,dc=m
    blah blah blah blah blah blah blah blah blah blah  ydom,dc=priv..PAS
    blah blah blah blah blah blah blah blah blah blah  SSWORDCLEAR!
....

問题很簡單,是否可以在服務器上強製執行tls時強製ldapsearch和所有ldap客戶端使用-z? 如果看起来不可能,我可以提出一些"想法"

1)帶有ldap客戶端選項的rc檔案,例如,其中包含要傳遞给客戶端的選項

LDAPSEARCH_OPTIONS="-ZZ"

2)一種機製,该機製可以識別tls強製服務器並自動啟用-zz,但localhost或ldapi除外。

最新回復
  • 7月前
    1 #

    您可以尝試將STARTTLS的LDAP擴充套件操作添加到您的URI中 客戶端LDAP配置檔案(例如〜/ .ldaprc或/etc/ldap/ldap.conf)。

    URI ldap://<ldap-server>/????1.3.6.1.4.1.1466.20037

    我似乎已经取得了一些成功.虽然我找到了 TLS_REQCERT demand選項 要麼停止工作,要麼我不太了解STARTTLS如何与LDAP配置檔案中的證书選項进行互動.即 使用上面的擴充套件操作配置,我仍然看到会话尝試STARTTLS,然後通過證书檢查失败,然後返迴以清除文字。

    帶有一些提示的參考文献:

    https://lists.openldap.org/hyperkitty/list/[email protected]/thread/SXwOL5SVSLwSNX35QFPVP6BPSLSHwOyG/#SXwOL5SVSLwSNX35QFPVP6BPSLSHwOyG
    https://www.openldap.org/lists/openldap-devel/200202/msg00070.html https://ldapwiki.com/wiki/StartTLS
    https://tools.ietf.org/html/rfc4511#page-40
    https://git.openldap.org/search?utf8=%E2%9C%93&snippets=false&scope=&repository_ref=master&search=LDAP_EXOP_START_TLS&group_id=13&project_id=1

  • backup:rsync不能正常處理"檔案重命名"吗?
  • email:記錄配置:web服務器IP和来自另一台服務器的Smtp IP上的主機內容