Я запускаю OpenLDAP 2.4 в системе Debian jessie. Клиенты обычно подключаются к этому серверу LDAP через порт 389, используя SASL / GSSAPI с нашей инфраструктурой Kerberos.
Когда клиент подключается с помощью SASL / GSSAPI, как он должен подключаться, чтобы убедиться, что сеансы зашифрованы? Или сеансы SASL / GSSAPI автоматически шифруются?
SASL / GSSAPI - средство аутентификации, только аутентификация . Если вы хотите обмен зашифрованными данными на протяжении сеанса, вам следует использовать TLS-конфигурацию вашего сервера openldap. Это явно не так, поскольку вы говорите о порте 389. Ваш сервер должен по умолчанию прослушивать порт 636 (ldaps) для зашифрованного сеанса.