Ssl

OpenLDAP:ldapmodify 所需的機密性 (ldapi://)

  • November 14, 2021

我正在尋求您的幫助,因為我被困住了 2 天。

在我的 OpenLDAP 伺服器上設置 TLS 和 SSL 後,它工作正常,但我無法再執行命令來編輯配置。當我嘗試使用這樣的命令更改配置時:ldapmodify -Q -Y EXTERNAL -H ldapi:/// 它返回一個錯誤,例如:

SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Confidentiality required (13)
additional info: TLS confidentiality required

當我通過添加-Z-ZZ在命令上指定 ssl 連接時,這將返回此錯誤:

SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Authentication method not supported (7)
additional info: SASL(-4): no mechanism available: 

有誰知道如何解決這個問題?

LDAPI 訪問的預設 SSF 值為 71,低於olcSaslSecProps屬性中required minssf的預設值。

因此,您應該將屬性olcLocalSSF設置為更高的值,而不是降低所需的 SSF值。

要使 ldapi 連接正常工作,olcLocalSSF必須等於或高於olcSecurity

例子 :

dn: cn=config
changetype: modify
replace: olcLocalSSF
olcLocalSSF: 128
-
replace: olcSecurity
olcSecurity: ssf=128

在此範例中,128是加密密鑰所需的最小位數。所有鍵低於該值的連接都將被拒絕

通常密鑰長度的值為 40、56、64、128、164 和 256

引用自:https://serverfault.com/questions/1080612