OpenLDAP : ldapmodify所需的保密性(ldapi://)

Question

我请求你的帮助，因为这件事我已经被困了两天了。

在我的OpenLDAP服务器上设置了TLS和SSL之后，它可以正常工作，但是我不能再执行命令来编辑配置。当我试图使用以下命令更改配置时，它会返回一个错误，如下所示：

SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Confidentiality required (13)
additional info: TLS confidentiality required

当我通过在命令中添加-Z或-ZZ来指定ssl连接时，这会返回以下错误：

SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Authentication method not supported (7)
additional info: SASL(-4): no mechanism available: 

有谁知道怎么解决这个问题吗？

Answer 1

LDAPI的默认SSF值为71，低于属性olcSaslSecProps中所需minssf的默认值。

因此，与其降低所需的SSF值，不如将属性olcLocalSSF设置为更高的值。

要使ldapi连接正常工作，olcLocalSSF必须等于或高于olcSecurity。

例子：

dn: cn=config
changetype: modify
replace: olcLocalSSF
olcLocalSSF: 128
-
replace: olcSecurity
olcSecurity: ssf=128

在本例中，128是加密密钥所需的最小位数。该值以下的所有键连接都将被拒绝。

正常情况下，键长的值为40、56、64、128、164和256。