我的apache.config:
LDAPTrustedMode TLS
LDAPTrustedGlobalCert CERT_BASE64 /etc/pki/tls/certs/ca.cer
AllowOverride None
Options None
#Order allow,deny
#Allow from all
AuthType Basic
AuthName "login to continue"
AuthBasicProvider ldap
AuthLDAPBindAuthoritative on
AuthLDAPURL "ldap://test.local/dc=test,dc=local?sAMAccountName
AuthLDAPBindDN "[email protected]"
AuthLDAPBindPassword "pass"
#require valid-user
AuthLDAPSubGroupAttribute member
#AuthLDAPGroupAttributeIsDN on
AuthLDAPSubGroupClass group
Require ldap-group CN=awx,OU=Security,OU=Groups,OU=test,DC=test,DC=local
这工作正常,用户可以登录,但当我在 Wireshark 中观察流量时,我注意到密码[电子邮件保护]用户以纯文本形式发送,并且还显示尝试登录的用户的姓名,并且使用端口 389。
当我更改 LDAPTrustedMode TLS为时LDAPTrustedMode SSL,密码未显示,并且与域控制器的通信使用端口 636。
我读到 Apache 中 SSL/636 端口已被弃用,这就是为什么我想通过端口 389 使用 SSL。文档说 STARTTLS 首先使用未加密的连接,一旦建立通信,进一步的数据交换就会被加密。
根据一些评论进行编辑
将 LDAPTrustedMode 更改为仍以纯文本STARTTLS显示用户密码AuthLDAPBindDN