Problemi con la rubrica LDAP in iOS 6

3

Quando si configura una rubrica LDAP con versioni iOS precedenti, il telefono si connette alla porta 389 per il testo normale e alla porta 636 quando SSL è abilitato. Il nostro servizio LDAP sicuro funziona sulla porta 636 e prima era connesso. Ora, con iOS 6, non si connette più. È difficile per me scoprire se sta tentando su un'altra porta (a causa del firewall aziendale) ma certamente non su 636. È stato modificato? E a quale numero di porta?

Sembra che non sia possibile passare a un altro numero di porta aggiungendo: 636 al nome del server. Quando lo fa, semplicemente non connette più nulla e mostra solo una ricerca fallita. Cosa dà?

L'impostazione LDAP è comunque molto limitata. Non c'è alcuna opzione per specificare un DN BIND che riesca a trovare, e quando inserisci un nome utente e una password invia il nome utente come DN BIND, che ovviamente fallisce perché non è un BIND DN sintatticamente corretto.

Qualcuno ha fatto funzionare questo client LDAP? Con quale server? Con SSL? Quale porta usa? Disponi di registri LDAP che mostrano come procede BIND?

    
posta Rob 04.10.2012 - 16:38
fonte

1 risposta

1

Il collegamento alla porta 389 non è sbagliato. In realtà è "conforme agli standard". Vedi RFC 4511 4.14 Operazione StartTLS .

Dalla pagina di Wikipedia :

"Servers also often support the non-standard "LDAPS" ("Secure LDAP", commonly known as "LDAP over SSL") protocol on a separate port, by default 636. LDAPS differs from LDAP in two ways: 1) upon connect, the client and server establish TLS before any LDAP messages are transferred (without a StartTLS operation) and 2) the LDAPS connection must be closed upon TLS closure.

...

LDAPS was used with LDAPv2, because the StartTLS operation had not yet been defined. The use of LDAPS is deprecated, and modern software should only use StartTLS."

L'impostazione dell'account iOS 6 invia una richiesta estesa starttls sulla porta 389 al server indicato. Dopo aver ottenuto una risposta positiva, il client (iOS in questo caso) avvia una stretta di mano di tls e se ciò completa il binding regolare, ecc. Procede successivamente. Pertanto, il server deve essere in grado di gestire entrambe le connessioni tls e non-tls sulla porta 389.

L'installazione sui vari server viene lasciata come esercizio ai lettori; -)

Quindi, iOS 5 e versioni successive hanno utilizzato la connessione LDAPS alla porta 686, ma suppongo che iOS 6 sia ora un "software moderno".

FWIW, penso che l'operazione startTLS sia superflua. Perché preoccuparsi di annunciare al mondo su un canale aperto cosa farai all'interno di una connessione sicura?

    
risposta data 03.01.2013 - 18:04
fonte

Leggi altre domande sui tag