ez azt jelenti, hogy ha hasznalom ezt az opciot, es ldaps:// ldap://-ra valo atiras utan mindket ldap.conf fajlban a 389-es porton menne a kommunikacio?
Fuggetlenul attol, milyen beallitas van az LDAP szerveren?
"ssl start_tls" csak a nss_ldaphoz tartozó konfig fáljban van...
Szóval a "getent passwd" parancs az TLS-t fog használni ezután, ha beleírod.
ldapsearchnel meg pl.:
ldapsearch -h host -ZZ ....
Ha a szerver megegedi az ldaps-t akkor a TLS-t is meg szokta. Fordítva már nem biztos, ldapst nem kell megengedni, ha csak TLS-t akarsz.
Az igazat megvallva nem ertem teljesen, mely esetben hasznalja a kliens a szerver publikus kulcsat,
ha azt az /etc/openldap/cacerts konyvtarba teszem es hasznalom a 'tls_cacertdir /etc/openldap/cacerts'
opciot az /etc/ldap.conf fajlban?
A cacertsben a CA tanúsítványa van, azaz az, aki aláírta a szerver publikus kulcsát.
Amúgy ennek ellenőrzését meg a TLS_REQCERT [never|allow|try|hard] beállítás szolgálja, az ldap kliens konfig fájlban.
Az /etc/ldap.conf-ban meg a tls_checkpeer szolgál ugyanerre.