Настройте OpenLDAP с TLS=required
Используйте WMI через vbscript.
Creating a Network Share
Creates a shared folder named FinanceShare, setting the maximum number of simultaneous connections to 25, and adding a share description.
Const FILE_SHARE = 0
Const MAXIMUM_CONNECTIONS = 25
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set objNewShare = objWMIService.Get("Win32_Share")
errReturn = objNewShare.Create _
("C:\Finance", "FinanceShare", FILE_SHARE, _
MAXIMUM_CONNECTIONS, "Public share for the Finance group.")
Wscript.Echo errReturn
Кажется, я получил это:
Я сделал это:
dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1
И, похоже, это произвело желаемый эффект. Я все еще могу запускать такие команды, как:
ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config
Но попытка привязки с помощью « ldapsearch -xLLL -b ... » без SSL говорит: «Требуется конфиденциальность TLS»
Это достигается с помощью опции TLSCipherSuite . Пример задокументирован в главе , посвященной безопасности LDAP, в книге OpenLDAP Zytrax . С его помощью вы можете указать OpenLDAP набор шифров, который будет принимать ваш сервер. Например, вы можете сказать, что вам не нужен набор шифров NULL (т.е. незашифрованный сеанс).
Будьте осторожны, хотя OpenLDAP может быть связан с библиотеками OpenSSL или GnuTLS. Они используют разные списки шифров для описания своей поддержки шифрования. Список шифров OpenSSL можно получить с помощью команды типа openssl ciphers -v , а список GnuTLS - с помощью gnutls-cli -l .
Самый простой способ отключить соединение без шифрования тогда будет:
dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: ALL:!NULL
Более конкретное ограничение с использованием синтаксиса GnuTLS :
dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: TLS_RSA_CAMELLIA_128_CBC_SHA1:TLS_RSA_CAMELLIA_256_CBC_SHA1:!NULL
Более полный пример может быть (с использованием синтаксиса OpenSSL ):
dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: HIGH:+SSLv3:+TLSv1:MEDIUM:+SSLv2:@STRENGTH:+SHA:+MD5:!NULL
Есть обсуждение списка рассылки OpenLDAP, которое стоит прочитать по аналогичному вопросу .
Также стоит отметить что инструменты OpenLDAP cli, такие как ldapsearch , автоматически переключаются на использование TLS при подключении к серверу, запрещающему незашифрованные соединения. Это означает, что вам не нужно добавлять -Z в список аргументов.
-Z в список аргументов. автоматически переключаются на использование TLS при подключении к серверу, запрещающему незашифрованные соединения. Это означает, что вам не нужно добавлять -Z в список аргументов.