我在 (2.6.3_2) FreeBSD 上运行 OpenLDAP 服务器。
我可以通过 LDAPS 端口 636 与 FreeBSD/Linux 客户端(如 PAM/NSS/NextCloud)配合良好。(使用 Let's Encrypt 证书)
除非我打开 LDAP 端口 389,否则我无法让它与 Windows 11 和 LDAP-Admin 1.8.3.0 一起工作。(我宁愿保持这个潜在的不安全协议关闭)
如果我将 LDAP-Admin 配置为在端口 389 上使用 Simple-auth+TLS,那么它就可以正常工作。在 Wireshark 中,我可以看到它启动 LDAP-StartTLS,然后升级到 TLSv1.3。
如果我将 LDAP-Admin 配置为通过端口 636 使用 Simple-auth+TLS,那么它会反复发送一些 TLSv1.3 电报,并失败并显示“LDAP 错误:不愿意执行”
我不明白为什么 StartTLS 会话可以工作,而通过专用 TLS 端口的会话却不工作。
登录服务器:
ACCEPT from IP=10.0.0.88:56741 (IP=0.0.0.0:636) TLS established
tls_ssf=256 ssf=256 tls_proto=TLSv1.3
tls_cipher=TLS_AES_256_GCM_SHA384 UNBIND
closed
编辑:我现在已设置“security ssf=50 update_ssf=128”,这应该可以防止端口 389 上出现非 startTLS