A TLS_REQCERT-nek semmi köze ahhoz, hogy SSL-t vagy TLS-t használsz, mindkettőnél ugyanazt jelenti, és most itt nincs is rá szükség.
Ha azt akarod, hogy loginnál a kliens mindig ellenőrizze a szervert, akkor a pam_ldap és nss_ldap beállítása szükséges:
- a CA cert-jét lerakod valahova
- /etc/ldap.conf-ban beállítod, hogy "tls_checkpeer yes" és a "tls_cacertdir=/konyvtar/ahova/tetted/a/ca/certet" vagy "tls_cacertfile=/a/ca/cert.file". Fontos, hogy world-readable legyen, lévén az nss_ldapot bármely user használhatja.
- ugyanide, ha ssl-t akarsz használni a 636-on, akkor "ssl on", ha TLS-t a 389-en, akkor "ssl start_tls"
Szóval nem a szerver publikus kulcsát (azt a TLS/SSL handshakenél úgyis elkéri a szervertől), hanem a CA tanúsítványát kell mondjuk a cacerts könyvtárba tenni (a nevében benne is van), az /etc/ldap.conf-ot be kell állítani, és ennyi.
(Amúgy a tls_checkpeer defaultja az, ami a TLS_REQCERT, de ne bonyolítsuk...)