openldap: 클라이언트를 강제로 시작하는 것이 가능합니까?

서버에서 tls-ldap을 구성하는 방법을 설명하지 않았으며 Google에서 이를 구성하는 방법이 많이 있습니다(tls 인증서 생성, ldif 생성, ldif 가져오기, ldapsearch -ZZ 시도 등). 서버에서 TLS를 강제로 실행하는 것도 쉽기 때문에 -Z 또는 -ZZ가 없는 연결은 거부됩니다.

ldapsearch -LLL -D "cn=ldapadm,dc=ldap1,dc=mydom,dc=priv" -wPASSWORD -b dc=ldap1,dc=mydom,dc=priv uidNumber=10009 uidNumber
ldap_bind: Confidentiality required (13)
    additional info: TLS confidentiality required

ldapsearch에서는 -Z를 사용하세요.

ldapsearch -Z -LLL -D "cn=ldapadm,dc=ldap1,dc=mydom,dc=priv" -wPASSWORD -b dc=ldap1,dc=mydom,dc=priv uidNumber=10009 uidNumber
dn: sambaSID=S-1-5-21-38458588-165473958-13245875-1289,ou=idmap,dc=ldap1,dc=mydom,dc=priv
uidNumber: 10009

TLS를 강제하기 위해 서버에서 이 ldif를 사용합니다.

dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1

이제 문제는 TLS를 시행하더라도 LAN에서 비밀번호를 스니핑할 수 있다는 것입니다.

-Z 없이 명령을 실행했는데 연결이 거부되었습니다.

ldapsearch -LLL -D "cn=ldapadm,dc=ldap1,dc=mydom,dc=priv" -wPASSWORD -b dc=ldap1,dc=mydom,dc=priv uidNumber=10009 uidNumber
ldap_bind: Confidentiality required (13)
    additional info: TLS confidentiality required

하지만 tcpdump는 비밀번호를 볼 수 있습니다!

tcpdump -i any port 389 -vvv -Xx|egrep --colour cn= -A 11
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
    blah blah blah blah blah blah blah blah blah blah  .`7...."cn=ldapa
    blah blah blah blah blah blah blah blah blah blah  dm,dc=ldap1,dc=m
    blah blah blah blah blah blah blah blah blah blah  ydom,dc=priv..PAS
    blah blah blah blah blah blah blah blah blah blah  SSWORDCLEAR!
....

질문은 간단합니다. tls가 서버에 강제로 적용될 때 ldapsearch와 모든 LDAP 클라이언트가 -Z를 사용하도록 강제할 수 있습니까? 불가능해 보이면 몇 가지 '아이디어'를 제안해 드릴 수 있습니다.

1) 클라이언트에 전달될 옵션이 포함된 ldap 클라이언트 옵션이 있는 rc 파일입니다.

LDAPSEARCH_OPTIONS="-ZZ"

2) TLS 강제 서버를 인식하고 localhost 또는 ldapi를 제외하고 -ZZ를 자동으로 활성화하는 메커니즘입니다.