Michele Codutti wrote: > Salve a tutti, sto implementando un sevizio LDAP ridondante tramite > l'utilizzo di OpenLDAP in configurazione syncrepl. I client del sistema > si collegano sulle interfacce pubbliche dei server mentre il flusso di > replicazione e di chaining passa attraverso una rete privata che > interconnette i server. Desiderando imporre la cifratura del traffico > ldap ho imposto la direttiva: > security ssf=128 > Questo perĂ² ha implicato la configurazione di TLS anche per syncrepl ed > i meccanismi di chaining. > Ho provato a studiare una soluzione tramite le ACL con l'utilizzo di ssf > ma non mi sembra che possano aiutarmi. > Ora: mi piacerebbe imporre la cifratura TLS solo sulle interfacce > esterne e non su quelle interne utilizzate per il syncrepl ed il > chaining. Ho un vincolo: non posso utilizzare LDAPS e quindi la porta > 636 (e trasmissioni non cifrate ovviamente), solo TLS sulla 389. > Non esiste una variante della direttiva security che imponga una > cifratura solo su determinati IP/interfacce?
Che io sappia, no. Probabilmente l'unica soluzione consiste nel duplicare le tue ACL in modo tale da imporre l'uso di ssf=128 solo quando "sockurl" corrisponde ad una delle interfacce per le quali lo richiedi. Qualcosa del tipo access to * by sockurl="ldap://public.net" ssf=128 break by sockurl="ldap://public.net" by * break dovrebbe impedire qualsiasi accesso alle connessioni su "ldap://public.net" che non abbiano ssf pari ad almeno 128, per le quali la valutazione si ferma li', mentre le connessioni con ssf pari a 128 o superiore, e quelle sulle altre interfacce non acquisiscono alcun privilegio ma continuano alle regole successive. Tutto sommato, la feature che richiedi potrebbe avere senso, quindi ti consiglio di suggerirne l'introduzione attraverso l'ITS <http://www.openldap.org/its/>. Ciao, p.
_______________________________________________ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap