Michele Codutti wrote:
> Salve a tutti, sto implementando un sevizio LDAP ridondante tramite
> l'utilizzo di OpenLDAP in configurazione syncrepl. I client del sistema
> si collegano sulle interfacce pubbliche dei server mentre il flusso di
> replicazione e di chaining passa attraverso una rete privata che
> interconnette i server. Desiderando imporre la cifratura del traffico
> ldap ho imposto la direttiva:
> security ssf=128
> Questo perĂ² ha implicato la configurazione di TLS anche per syncrepl ed
> i meccanismi di chaining.
> Ho provato a studiare una soluzione tramite le ACL con l'utilizzo di ssf
> ma non mi sembra che possano aiutarmi.
> Ora: mi piacerebbe imporre la cifratura TLS solo sulle interfacce
> esterne e non su quelle interne utilizzate per il syncrepl ed il
> chaining. Ho un vincolo: non posso utilizzare LDAPS e quindi la porta
> 636 (e trasmissioni non cifrate ovviamente), solo TLS sulla 389.
> Non esiste una variante della direttiva security che imponga una
> cifratura solo su determinati IP/interfacce?
Che io sappia, no. Probabilmente l'unica soluzione consiste nel
duplicare le tue ACL in modo tale da imporre l'uso di ssf=128 solo
quando "sockurl" corrisponde ad una delle interfacce per le quali lo
richiedi.
Qualcosa del tipo
access to *
by sockurl="ldap://public.net"; ssf=128 break
by sockurl="ldap://public.net";
by * break
dovrebbe impedire qualsiasi accesso alle connessioni su
"ldap://public.net"; che non abbiano ssf pari ad almeno 128, per le quali
la valutazione si ferma li', mentre le connessioni con ssf pari a 128 o
superiore, e quelle sulle altre interfacce non acquisiscono alcun
privilegio ma continuano alle regole successive.
Tutto sommato, la feature che richiedi potrebbe avere senso, quindi ti
consiglio di suggerirne l'introduzione attraverso l'ITS
<http://www.openldap.org/its/>.
Ciao, p.
_______________________________________________
OpenLDAP mailing list
OpenLDAP@sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
