Alessandro De Zorzi wrote:
per LDAP penso sia sufficiente avere un canale di comunicazione criptato, quindi un certificato self-sign con CA fittizzia
Se ti accontenti di un canale crittato si', ma non ti protegge da "man-in-the-middle". Per usare un certificato self-signed il client deve essere configurato con "TLS_REQCERT never" (vedi ldap.conf(5); NON E' IL DEFAULT), e il server con "TLSVerifyClient never" (questo invece e' il default).
Inoltre, OpenLDAP supporta SASL EXTERNAL basato su TLS, per il quale la verifica dei certificati corrisponde ad autenticazione e l'identita' del client viene vista come il DN del certificato (opzionalmente rimappato con le regole authz-regexp). In questo caso, un certificato self-signed, in genere comunque da evitare, non e' proprio possibile.
Ciao, p. Ing. Pierangelo Masarati OpenLDAP Core Team SysNet s.r.l. via Dossi, 8 - 27100 Pavia - ITALIA http://www.sys-net.it --------------------------------------- Office: +39 02 23998309 Mobile: +39 333 4963172 Email: [EMAIL PROTECTED] --------------------------------------- _______________________________________________ OpenLDAP mailing list [email protected] https://www.sys-net.it/mailman/listinfo/openldap
