使用 TLS=required 配置 OpenLDAP

现在，OpenLDAP 需要使用 ldapmodify cn=config 进行配置，如下所述这里。但我找不到如何配置它仅有的接受 TLS 流量。我刚刚确认我们的服务器接受未加密的流量（使用 ldapsearch 和 tcpdump）。

通常情况下，我只会使用 IP 表关闭非 SSL 端口，但显然 SSL 端口已被弃用，所以我没有这个选择。

因此，使用 SSL 配置命令如下：

dn: cn=config
changetype:modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/bla.key
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/bla.crt
-
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/ca.pem

是否有强制 TLS 的参数？

编辑：我尝试了 olcTLSCipherSuite，但它不起作用。调试输出：

TLS: could not set cipher list TLSv1+RSA:!NULL.
main: TLS init def ctx failed: -1
slapd destroy: freeing system resources.
slapd stopped.
connections_destroy: nothing to destroy.

编辑2（几乎已修复）：我可以通过加载来修复它：

# cat force-ssl.tx 
dn: cn=config
changetype:  modify
add: olcSecurity
olcSecurity: tls=1

但是然后像

ldapmodify -v -Y EXTERNAL -H ldapi:/// -f /etc/ssl/tls-required.ldif

不再起作用...并将其更改为：

ldapmodify -v -x -D "cn=admin,dc=domain,dc=com" -H ldap://ldap.bla.tld/ -ZZ -W -f force-ssl.txt

给出“ldap_bind：无效凭据 (49)”。显然，即使此 binddn 指定为 rootdn，我也不能使用它来更改cn=config。可以更改吗？