Я использую OpenLDAP 2.4 в системе Debian jessie. Клиенты обычно подключаются к этому серверу LDAP через порт 389, используя SASL / GSSAPI с нашей инфраструктурой Kerberos.
Когда клиент подключается с использованием SASL / GSSAPI, как он должен подключаться, чтобы быть уверенным, что сеансы зашифрованы? Или сеансы SASL / GSSAPI автоматически шифруются?
SASL / GSSAPI - средство аутентификации, только аутентификация. Если вы хотите обмен зашифрованными данными в течение сеанса, вам следует использовать TLS-конфигурацию вашего сервера openldap. Это явно не так, поскольку вы говорите о порту 389. Ваш сервер должен по умолчанию прослушивать порт 636 (ldaps) для зашифрованного сеанса.