Um sicherzustellen, dass (selbst zwischen den UML-Prozessen) der Verkehr nicht belauscht werden kann, verwenden wir verschlüsselte Verbindungen, falls die möglich ist. Leider unterstützen nicht alle verwendeten Authentifikations-Clients verschlüsselte LDAP-Verbindungen, bzw. diese Option wurde nicht für die originalen debian-Pakete aktiviert.
In diesen Fällen verzichteten wir auf die Verschlüsselung, um den Administrationsaufwand gering zu halten. Eigentlich ist es auch wieder nur eine Spielerei der Paranoiden ...
TLS/SSL
dafür brauchen wir ein Zertifikat für den Server (in diesem Fall mit dem Servernamen ldap, da er nur intern verwendet wird)
das öffentliche Zertifikat sollte unter /data/certs/ldap-cert.pem abgelegt werden
die Schlüssel-Datei sollte /data/certs/ldap-key.pem heißen
außerdem ist das Zertifikat der CA nötig: /data/certs/sao-CA-cacert.pem
in die /etc/ldap/slapd.conf gehören somit folgende Optionen:
TLSCACertificateFile /data/certs/sao-CA-cacert.pem TLSCertificateFile /data/certs/ldap-cert.pem TLSCertificateKeyFile /data/certs/ldap-key.pem
in die /etc/default/slapd gehört nun die folgende Zeile:
SLAPD_SERVICES="ldap:/// ldaps:///"
die /etc/ldap/ldap.conf und /root/.ldaprc sollte nun ldaps:// anstelle von ldap:// verwenden
ausprobieren mit
ldapsearch -x