ldap работает, но не ldaps правильно

Это довольно часто встречается в более крупных средах, где для административных учетных записей может быть отдельный домен или лес. В этом случае вы определенно не можете добавить их к администраторам домена и, вероятно, не хотите, чтобы все были в администраторах предприятия.

У Пола Уильямса была хорошая статья, в которой описаны различные объекты и требуемые разрешения. К сожалению, эта ссылка не работает, но вы все еще можете просмотреть ее на машине возврата.

https://web.archive.org/web/20081006114434/http://www.msresource.net/articles/how_to_delegate_the_ability_to_add_a_domain_controller_to_the_domain_%28using_minimum_permissions%29.html [1218845]-UP_MINIMUM_ Permissions%29.html [1218845] -UP :

Из этой страницы видно, что

Полное доменное имя всегда требуется с параметром -h. Это предотвращает атаки типа "злоумышленник посередине".

и что:

Хотя протокол ldaps поддерживается, он устарел.

Подробнее, из man ldapsearch :

-h : Укажите альтернативный хост на на котором запущен сервер ldap. Устарело в пользу -H .

Чтобы разрешить только безопасные соединения, посмотрите здесь , или другое простое решение - правило iptable:

iptables -A OUTPUT -p tcp --dport 389 -j DROP
iptables -A INPUT  -p tcp --destination-port 389  -j DROP

Спасибо, я пробовал с -Z и -ZZ.

 ldapsearch -h server -p 636 -x -D 'admin.test' -w 'xxx' -b cn=admin.test,cn=users,dc=domain,dc=com' -v -Z
ldap_initialize( ldap://server.domain.com:636 )
ldap_start_tls: Can't contact LDAP server (-1)
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

С -ZZ, такое же сообщение об ошибке без ldap_sasl_bind (ПРОСТОЙ): Невозможно связаться с сервером LDAP (-1)

Вы правы, эта команда не запускает хороший протокол. Есть ли способ заставить это?