Um sicherzustellen, dass (selbst zwischen den UML-Prozessen) der Verkehr nicht belauscht werden kann, verwenden wir verschlüsselte Verbindungen, falls die möglich ist. Leider unterstützen nicht alle verwendeten Authentifikations-Clients verschlüsselte LDAP-Verbindungen, bzw. diese Option wurde nicht für die originalen ''[[http://debian.org|debian]]''-Pakete aktiviert. 

In diesen Fällen verzichteten wir auf die Verschlüsselung, um den Administrationsaufwand gering zu halten. Eigentlich ist es auch wieder nur eine Spielerei der Paranoiden ...

= TLS/SSL =
 * dafür brauchen wir ein Zertifikat für den Server (in diesem Fall mit dem Servernamen ''ldap'', da er nur intern verwendet wird)
 * das öffentliche Zertifikat sollte unter ''/data/certs/ldap-cert.pem'' abgelegt werden
 * die Schlüssel-Datei sollte ''/data/certs/ldap-key.pem'' heißen
 * außerdem ist das Zertifikat der CA nötig: ''/data/certs/sao-CA-cacert.pem''
 * in die ''/etc/ldap/slapd.conf'' gehören somit folgende Optionen: {{{
TLSCACertificateFile /data/certs/sao-CA-cacert.pem
TLSCertificateFile /data/certs/ldap-cert.pem
TLSCertificateKeyFile /data/certs/ldap-key.pem}}}
 * in die ''/etc/default/slapd'' gehört nun die folgende Zeile: {{{
SLAPD_SERVICES="ldap:/// ldaps:///" }}}
 * die ''/etc/ldap/ldap.conf'' und ''/root/.ldaprc'' sollte nun ''ldaps://'' anstelle von ''ldap://'' verwenden
 * ausprobieren mit {{{
ldapsearch -x }}}