Dieter Kluenter wrote: [ ... ]
Über Port 636 bekomme ich dagegen z.B. mit dem Programm Ldapadmin _keine_ Verbindung.
Wie ist denn ldapadmin konfiguriert?
Hallo Dieter,
ldapadmin läuft unter Windows (http://ldapadmin.sourceforge.net/). Wenn ich "Use SSL secured connection" aktiviere, schaltet er automatisch Port 636 an. Beim Verbinden kommt dann aber "LDAP-Fehler: Server heruntergefahren". Ohne SSL verbindet er einwandfrei. Zertifikate kann ich nicht einlesen.
OK, ldapadmin beherrscht also nicht die Möglichkeit der Integritätsprüfung, dann mußt du die Konfiguration etwas ändern.
In slapd.conf nicht das cacert.pem ausweisen, also nur die Parameter
,----[ slapd.conf ] | TLSCcertificateFile /pfad/auf/datei | TLSCertificateKeyFile /pfad/auf/datei `----
und in /etc/openldap/ldap.conf die Zeile
TLS_REQCERT never
Wenn du slapd nur mit dem Parameter -h ldaps:/// startest, wird ausschließlich über Port 636 eine Verbindung hergestellt. Allerdings musst du dann auch alle Clients entsprechend konfigurieren. Eine andere Möglichkeit besteht in der Konfiguration entsprechender access Regeln, siehe dazu man slapd.access(5), Stichwort Security Strength Factor (ssf).
... würde ich dann "härten", sobald er prinzipiell läuft. Ist das aus Deiner Sicht sinnvoll?
Na ja, in diesem speziellen Fall wird ja nur der Datentransport verschlüsselt, eine Integritätsprüfung der beteiligten Parteien findet ja nicht statt. Trotzdem würde ich den Datentransport so geschützt wie möglich abwickeln und gegebenenfalls zusätzliche Sicherheitsmassnahmen auf dem Server vorsehen. Gegebenenfalls kann man durch geeignete Security Strength Factors das Risiko minimieren.
[ ... ] Hallo Dieter, danke für die Tipps. Es scheint, dass ldapadmin _nicht_ damit umgehen kann. Habe mit Yast2 von einer anderen Maschine darauf zugegriffen und SSL/TLS aktiviert, das funzt einwandfrei. Wie kann ich denn überprüfen, ob der Traffic wirklich verschlüsselt abläuft? /var/log/messages sagt nichts drüber. Wenn ich in der Firewall nur Port 636 offen lasse, bekommt der Client keine Verbindung, obwohl ich für ihn explizit Port 636 angegeben habe. Viele Grüsse Joachim