Zdravím vespolek, já bych to zjednodušil do polopatistické podoby: Zapomeňte zpočátku na všechny SASL metody, Kerbera atd. Používejte autentizaci heslem v jeho plain-text podobě. Veškerou komunikaci mezi klientem a serverem ale prohánějte šifrovaným kanálem (ldaps, port 636). V rámci toho ochráníte před zneužitím i heslo.
Pro server budete potřebovat certifikát, ať už self-signed nebo nějaký lepší. V konfiguraci openldap klienta si nastavte, jak moc server a jeho certifikát prověřujete nebo ignorujete (/usr/local/etc/openldap/ldap.conf, TLS_REQCERT, TLS_CACERT). V určitých ldap kruzích se nedoporučuje komunikovat zabezpečeně na portu 636 (označováno též jako SSL). Místo toho upřednostňují navázat spojení nezabezpečeně na ldap port 389, a poté překlopit do zabezpečené šifrované podoby. V té souvislosti se to zkráceně označuje jako STARTTLS nebo TLS komunikace. Osobně je mi to proti mysli. Můžete ale potkat aplikace, které umějí jen jednu z obou variant. S pozdravem, Martin Bílý -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
