Я использую Kerberos / spnego и ldap для единого входа, поэтому мы привязываем Kerberos к AD нашего клиента.
Теперь, в марте 2020 года, Microsoft рекомендует использовать LDAPS вместо LDAP и использовать SASL только при подписании нашего клиента, изменившего свой AD, чтобы принимать только эти безопасные запросы. https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirements-for-windows
Я уже изменил свои настройки ldap.conf, чтобы использовать порт 636, использовать ldaps в uri и использовать TLS_CACERT
ssl on
TLS_CACERT /etc/ldap/Certificate.pem
TLS_REQCERT demand
в nslcd.conf я изменил то же самое.
Клиент по-прежнему говорит, что получает небезопасные запросы:
"The following client performed a SASL (Negotialte/Kerberos/NTLM/Digest) LDAP bind without requesting signing (integrity verification), or performed a simple bind over a clear text LDAP connection."
Но разве Kerberos не всегда отправляет привязку SASL LDAP без запроса подписи? Как я могу это изменить?