Salut à tous,

J'ai mis en place le client LDAP sur AIX AIX 5.3.9 et il fonctionne bien, en utilisant les descriptions dans le Livre rouge de mise en œuvre de LDAP dans un environnement hétérogène.
J'ai ajouté le cryptage SSL pour le client LDAP de configuration du démon et a créé une clé-db et en a importé un certificat signé de notre CA.

Lors de l'utilisation ldapsearch avec SSL et regarder le trafic avec tcpdump, que tout est crypté, il est censé être.
Lors de la délivrance de lsldap, le trafic est crypté trop.

Lorsque je tente de se connecter avec un annuaire LDAP seul compte, je peux avoir sur le système sans problème, mais le trafic n'est pas crypté à tous. Je peux le voir dans la sortie de tcpdump uncrypted tout.

J'ai essayé beaucoup de réglages différents, mais sans succès. Voici mon ldap.cfg:

serverschematype:rfc2307
ldapservers:10.10.10.10
binddn:cn=admin,o=services
bindpwd:{DESv2}somethingcryptedhere
authtype:ldap_auth
searchmode:OS
useSSL:yes
ldapsslport:636
ldapsslkeyf:/etc/security/ldap/key.kdb
ldapsslkeypwd:{DESv2}somethingcryptedhere
userclasses:posixaccount,account,shadowaccount
groupclasses:posixgroup
userattrmappath:/etc/security/ldap/2307user.map
groupattrmappath:/etc/security/ldap/2307group.map
userbasedn:ou=users,o=company,c=de
groupbasedn:ou=users,o=company,c=de
defaultentrylocation:LDAP

hm?

ldap-le chiffre de cryptage juste de la communication au serveur ldap, comme l'authentification, l'utilisateur / groupe d'informations, trop de cours ldapsearch

une fois que vous êtes sur la machine, LDAPS travail est fait, vous avez besoin d'utiliser SSH / SFTP pour chiffrer l'ensemble datatransfer

edit: oh je suppose que vous voulez dire les informations de connexion n'est pas cryptée?

J'utilise presque la même configuration avec Tivoli Directory server, je vais voir si elle n'est pas cryptée trop sur mon système AIX, serait très mauvais si thats le cas

C'est juste ce qu'il semble ne pas faire lorsque je fais une connexion ssh avec un annuaire LDAP basé compte. Mais je suppose que j'ai découvert ce qui se passe mal, car il ya un script shell appelé ldapsearch pour faire un tri des différents loginshells basée sur ldapgroups etc

Désolé pour le bruit, je l'ai trouvée.

ok donc je n'ai pas à analyser les tcpdump, la haine qui

vous pouvez fermer le port 389 sur votre serveur ldap, donc il n'y a aucun moyen d'envoyer des informations non cryptées

Salut,
Je viens de recevoir une autre question sur le protocole LDAP sur SSL:
Sous Linux, vous pouvez configurer dans ldap.cfg avec "\u003d TLS_REQCERT permettre" que tous les CA est acceptée. Existe-t-il toute possibilité de le faire sur AIX? J'ai vérifié toutes les options / etc / security / ldap / ldap.cfg et ne pas en trouver un qui peut être semblable à celle mentionnée ci-dessus, sur Linux.

Le but est de contourner le certificat CA qui expire dans 2 ans etc provoquant une mise à jour sur plus de 100 serveurs. Nous voulons avoir de communication cryptée SSL pour ldap (secldapclntd) et ldapsearch etc, tout en acceptant tous les types de certificat ou de CA.