Ниже описан способ понятия TLS/SSL для OpenLDAP, без проверки сертификата сервера клиентам (мне важна только защита от сниффиров, правельные сертификаты описаны здесь: Настройка OpenLDAP и его клиентов).
Для простой генерации сертификата можно использовать пакет cert-sh-functions. Готовой утилиты, для данного действа, в данном пакете нет, но содержащийся там шелфункцией ssl_generate пользоваться достаточно удобно:
Несмотря на ругань, данная операция сгенерирует следующие файлы:
Полученный таким образом сертификат ldap.cert будет самоподписанным, а его CN=`hostname`.
Для большинства клиентов режим проверки сертификатов можно указать через файл /etc/openldap/ldap.conf (часто это единственное место, если файл отсутствует — его нужно создать). Для своей задачи, я использую такой:
Редкий случай, когда cat /etc/openldap/ldap.conf не нужен: режим проверки серверного сертификата настраивается непосредственно в ##/etc/{nss,pam}_ldap.conf:
В /etc/dovecot/dovecot-ldap.conf (см. Open LDAP и Dovecot) можно только включить TLS:
Остальное — через /etc/openldap/ldap.conf.
В файле конфигурации БД (у меня /etc/openldap/slapd-hdb-db01.conf):
Остальное — через /etc/openldap/ldap.conf.