Hallo, ich habe bei der Aktivierung von TLS für den LDAP-Zugriff zwei Nebenwirkungen festgestellt, die ich nicht verstehe.
1. Wenn sowohl TLS als auch SASL via DIGEST-MD5 aktiviert sind, versucht slapd den Klienten zunächst gegen sasldb (!) zu authentifizieren, was natürlich fehlschlägt, da ich die nicht verwende. Danach authentifiziert er selbst richtig und liefert die Antworten aus. Bei SASL via DIGEST-MD5 ohne TLS authentifiziert slapd gleich selbst, ohne Rückfrage bei sasldb. Bei einfacher Authentifizierung (ohne SASL) unter TLS gibt es auch keine Fehlermeldung. 2. Unter Verwendung von TLS (mit oder ohne SASL) kann ich keine Schemaeinträge lesen. Versteht das irgendjemand? Ich habe auch noch eine Verständnisfrage. Wenn ich SASL (mit digest-md5) verwende, wird das Paßwort verschlüsselt übertragen. Wenn ich als Admin authentifiziert bin, habe ich auch Lesezugriff auf die Paßwörter, die im slapd im Klartext gepeichert sind. Wenn der sicher authentifizierte Admin einen User-Eintrag liest, wird dessen Paßwort quasi unverschüsselt übertragen. Ist das so richtig? Wenn dem so ist, dann wäre für den Admin TLS dringend geboten. Aber auch der User kann sein eigenes Paßwort lesen und überschreiben. So ist das zwar bei der Authentifizierung gesichert, nicht aber, wenn er lesend oder schreibend darauf zugreift. Wenn dem so ist, dann führt an TLS kein Weg vorbei, oder? Kennt eigentlich jemand eine gesicherte Angabe, wie sich TLS auf Zugriffsgeschwindigkeit und -volumen auswirkt? Noch eine allerletzte Frage. Besteht eigentlich Interesse an einem deutschen LDAP-Forum im Usenet? Soweit ich sehe, gibt es bislang keines. Und besonders debian-spezifisch ist das Thema ja auch nicht (sorry im Voraus). Gruß gp