ldaps 与 ldap over TLS 的区别
@[toc]
1 LDAP over SSL(即ldaps)
- ldap默认不加密情况下走389端口
- 当使用ldaps的时候走636端口
- ldaps已经淘汰了(不然也不会有LDAP over TLS出来)
2 LDAP over TLS(即ldap + TLS)
-
LDAP over TLS可以简单理解为ldaps的升级 - 它默认走389端口,但是会通讯的时候加密
- 客户端连接LDAP时,需要指明通讯类型为TLS
3 连接方式对比:
3.1 启动服务器debug模式
先将服务器以debug方式启动,以观察连接日志
/usr/sbin/slapd -u ldap -h "ldapi:/// ldap:/// ldaps:///" -d 256
-d 256 :代表debug方式
ldap:/// :代表0.0.0.0:389
ldaps:/// :代表0.0.0.0:636
ldapi:/// :代表
3.2 ldaps方式连接
三选一
ldapsearch -H ldaps://127.0.0.1 #---本机
ldapsearch -x -H ldaps://ldap.hb.lan
ldapsearch -x -H ldaps://ldap.hb.lan aaaa #---搜索标示aaaa
日志:
60cac4ff conn=1000 fd=18 ACCEPT from IP=192.168.5.7:43548 (IP=0.0.0.0:636)
60cac4ff conn=1000 fd=18 TLS established tls_ssf=256 ssf=256
60cac4ff conn=1000 op=0 BIND dn="" method=128
60cac4ff conn=1000 op=0 RESULT tag=97 err=0 text=
60cac4ff conn=1000 op=1 SRCH base="dc=hb,dc=lan" scope=2 deref=0 filter="(objectClass=*)"
60cac4ff conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=8 text=
60cac4ff conn=1000 op=2 UNBIND
60cac4ff conn=1000 fd=18 closed
3.3 LDAP over TLS方式连接(STARTTLS)
三选一
ldapsearch -ZZ -H ldap://127.0.0.1 #---本机
ldapsearch -x -ZZ -H ldap://ldap.hb.lan
ldapsearch -x -ZZ -H ldap://ldap.hb.lan bbbb #---搜索标示bbbb
日志:
60cac54b conn=1001 fd=18 ACCEPT from IP=192.168.5.7:33304 (IP=0.0.0.0:389)
60cac54b conn=1001 op=0 EXT oid=1.3.6.1.4.1.1466.20037
60cac54b conn=1001 op=0 STARTTLS
60cac54b conn=1001 op=0 RESULT oid= err=0 text=
60cac54b conn=1001 fd=18 TLS established tls_ssf=256 ssf=256
60cac54b conn=1001 op=1 BIND dn="" method=128
60cac54b conn=1001 op=1 RESULT tag=97 err=0 text=
60cac54b conn=1001 op=2 SRCH base="dc=hb,dc=lan" scope=2 deref=0 filter="(objectClass=*)"
60cac54b conn=1001 op=2 SEARCH RESULT tag=101 err=0 nentries=8 text=
60cac54b conn=1001 op=3 UNBIND
60cac54b conn=1001 fd=18 closed
4 总结
建议关闭ldaps方式,仅开启LDAP over TLS
最后
image
