Нотатки адміністратора starttls - безпечний ldap

TLS 1.0 (Transport Layer Security) - це протокол безпечної передачі даних, заснований на SSL 3.0 (Secure Socket Layer), відрізняється від нього незначно, тому терміни SSL і TLS можна використовувати як синоніми.

StartTLS - це механізм встановлення безпечного з'єднання на основі TLS-протоколу. Даний механізм використовує вже існуючий обліковий запис - для LDAP-з'єднання це 389-й порт (ldap: //). Іноді його називають TLS upgrade по тій же самій причині - іспольузется вже встановлене TCP-з'єднання.

LDAPS (ldaps: //) - це теж безпечне з'єднання, але воно ініціюється на альтернативному порту (636).

Після того як ініціалізація безпечного з'єднання пройшла успішна, різниці між StartTLS і LDAPS немає.

Для того, щоб LDAP-сервер вмів формувати безпечне з'єднання, необхідно мати SSL-сертифікат для використовуваного сервера, підписаний Центром Сертифікації (CA), сертифікат якого в свою чергу знаходиться в root-списку (ca-bundle.crt). В основній файл конфігурації як мінімум повинні бути додані наступні рядки:

Після перезапуску ldap-сервісу, StartTLS механізм можна перевірити за допомогою команди:

Для безпечної (з використанням TLS) реплікації даних на інший сервер переважно використовувати механізм StartTLS, без використання додаткового ldaps-порту (636). Все, що потрібно поправити в цьому випадку в файлі конфігурації /etc/slapd.conf - додати рядок starttls = yes в налаштування необхідної репліки (replica). наприклад:

Параметр starttls може приймати значення "yes", в цьому випадку, якщо в момент ініціалізації TLS-з'єднання виникли помилки, з'єднання буде встановлено без використання TLS. Рекомендується - critical.