Ошибка OpenLDAP SSL
Один из основных принципов защиты является "наименьшим количеством полномочий". Кому-то (или что-то) только нужен минимальный доступ/информация, необходимый, чтобы сделать их задание.
Если у Вас есть база данных, которая только доступна веб-сервером, почему Вы позволили бы любому серверу в Вашей сети получать доступ к нему? То же относится к любой системе...
Так, Вам нужны брандмауэр в периметре и также межсетевые экраны узлов в каждой системе (iptables, pf, и т.д.) для обеспечения более тонкой настройки. Тот путь, если одна система поставлена под угрозу, нападению будет намного более трудным распространиться в Вашей сети.
Плюс, если у Вас есть сегменты с различными документами, Вам также нужен брандмауэр периметра, или по крайней мере VLAN там (скажите что разделение сети HR от dev один, или демилитаризованная зона от интранет).
Так, да, существует категорический ответ :)
Кажется, что Вы пытаетесь использовать клиентский SSL вместо серверной стороны; клиент идентифицирует себя с помощью сертификата, а не пароля.
Действительно обратите внимание, что реализация OpenLDAP SSL довольно хитра - она взяла меня долгое время, чтобы выяснить, что она читает, это - сертификаты SSL ПОСЛЕ ТОГО, КАК она отбрасывает полномочия, таким образом, сертификаты SSL должны иметь полномочия чтения для OpenLDAP-пользователя...
У меня в настоящее время есть SSL, работающий с OpenLDAP на RHEL - в моем slapd.conf, я имею:
TLSCACertificateFile /etc/openldap/cacerts/cacert.pem
TLSCertificateFile /etc/openldap/cacerts/slapdcert.pem
TLSCertificateKeyFile /etc/openldap/cacerts/slapdkey.pem
Можно использовать:
openssl s_client -connect localhost:636 -showcerts
проверять, что сертификат сервера установлен и работающий правильно, и
ldapsearch -ZZ -x -D 'cn=manager,dc=domain,dc=com' -W 'objectclass=*' -v
проверять, что TLS работает.
Я главным образом сослался на http://www.openldap.org/faq/data/cache/185.html для получения сертификатов, генерирует, и корректный набор полномочий.