我在 Debian jessie 系统上运行 OpenLDAP 2.4。客户端通常使用 SASL/GSSAPI 和我们的 Kerberos 基础架构通过端口 389 连接到此 LDAP 服务器。
当客户端使用 SASL/GSSAPI 连接时,他们应如何连接才能确保会话已加密?或者 SASL/GSSAPI 会话是否自动加密?
答案1
SASL/GSSAPI 是一种身份验证方法,仅有的身份验证。如果您希望在整个会话期间进行加密数据交换,则应使用 openldap 服务器的 TLS 配置。由于您提到了端口 389,因此显然情况并非如此。您的服务器应默认监听端口 636(ldaps)以进行加密会话。