Мой apache.config:
LDAPTrustedMode TLS
LDAPTrustedGlobalCert CERT_BASE64 /etc/pki/tls/certs/ca.cer
AllowOverride None
Options None
#Order allow,deny
#Allow from all
AuthType Basic
AuthName "login to continue"
AuthBasicProvider ldap
AuthLDAPBindAuthoritative on
AuthLDAPURL "ldap://test.local/dc=test,dc=local?sAMAccountName
AuthLDAPBindDN "bindtest@test.local"
AuthLDAPBindPassword "pass"
#require valid-user
AuthLDAPSubGroupAttribute member
#AuthLDAPGroupAttributeIsDN on
AuthLDAPSubGroupClass group
Require ldap-group CN=awx,OU=Security,OU=Groups,OU=test,DC=test,DC=local
Это работает нормально, пользователь может войти в систему, но когда я наблюдаю трафик в Wireshark, я замечаю, что пароль пользователя bindtest@test.local отправляется в виде обычного текста и также отображается имя пользователя, который пытается войти в систему, также используется порт 389 .
Когда я меняю LDAPTrustedMode TLS
к LDAPTrustedMode SSL
тогда пароль не отображается, и для связи с контроллером домена используется порт 636.
Я читал, что порт SSL / 636 устарел в Apache, поэтому я хочу использовать SSL через порт 389. В документации указано, что STARTTLS сначала использует незашифрованное соединение, а после установления связи дальнейший обмен данными шифруется.
Редактировать на основе некоторых комментариев
Изменение LDAPTrustedMode на STARTTLS
все еще отображается пароль AuthLDAPBindDN
пользователь в виде обычного текста