第三回 一人 OpenLDAP 勉強会

ldaps はもう古い StartTLS を使ってみる

ldaps はもう古いらしく今のブーム?は StartTLS らしいので、
さっそくそちらを使ってみます。

StartTLS というのは ldaps のように別ポートを使うのではなく、
トランスポート層のセキュリティをネゴシエートとします。

ちなみに RFC 2830 で追加されたのですが、
最近では RFC 4513 でまとめられています。

参考資料

Lightweight Directory Access Protocol (LDAP):
Authentication Methods and Security Mechanisms
http://www.ietf.org/rfc/rfc4513.txt

ldap の設定をちょこっとだけ変える。

一行加えるだけ ...

/etc/openldap/ldap.conf

ssl start_tls

ldaps を使わず ldap を使うようにする

/etc/default/slapd

#SLAPD_SERVICES="ldap://127.0.0.1:389/

アドレスブックに設定する

SSL を使用するけど通常の ldap のポート 389 を指定する。

StartTLS + OpenLDAP + アドレスブック
StartTLS + OpenLDAP + アドレスブック posted by (C)voluntas

裏で検索して spam@example.com が出てきているのが見えると思います。
SSL 通信で LDAP 成功です。

余計な画像は気にしないでね。

所要時間5分 orz

感想

  • tcpdump dst port 389 -X でさらっと確認したら問題なさそう
  • さっさと認証にいこうかな
  • python-ldap もやらないとね
  • StartTLS すげーーーーーーーー簡単
  • ldaps とかもう古いね