<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>I'm trying to configure a LDAP authentication to a server, and I have the following guidance -</div><div><br></div><div>Binds are only permitted via certificate based authentication (i.e. setting up a service account for you in our Whitepages LDAP store which will allow you to connect to it via a client certificate).  <span style="background-color:transparent;color:rgb(0,0,0);font-family:Arial;font-size:12pt;white-space:pre-wrap">(note: this example utilizes ForgeRock’s OpenDJ ldapsearch tool, but any ldap query tool that supports certificates can be used in its place):</span> </div><div><div>ldapsearch -h whitepages.xxxx.xxx -p 636 </div><div>--baseDN ou=people,dc=xxxx</div><div>--useSSL </div><div>--useSASLExternal </div><div>--certNickName <Insert Cert Nickname Here> # nickname of your certificate inside the keystore.jks</div><div>--keyStorePath /path/to/keystore.jks # java key store containing your certificate</div><div>--keyStorePasswordFile keystore.pin # plain text file containing the password to keystore.jks</div><div>--trustStorePath /path/to/truststore.jks # java key store file containing Whitepages public certificate</div><div>--trustStorePasswordFile truststore.pin # plain text file containing the password to truststore.jks</div><div>uid=<a href="http://service.account.name" target="_blank">service.account.name</a>,ou=people, etc</div></div><div><br></div><div>However... the goodies file "ldap-sasl.cfg" states </div><div><div># When UseSASL is enabled, AuthBy LDAP 2 will send the SASLUser and</div><div># SASLPassword to the LDAP server when it does an LDAP bind prior to</div><div># searching for the Radius user to authenticate. </div></div><div dir="ltr"><br></div>And in the manual, "<span style="color:rgb(17,17,17);font-family:sans-serif;font-size:13.3333px">Optionally you can authenticate Radiator as a valid user of the LDAP server by specifying </span><code class="m_9147120524791673425gmail-parmname" style="font-size:0.9em;line-height:1.48;font-style:italic;color:rgb(17,17,17)">AuthDN</code><span style="color:rgb(17,17,17);font-family:sans-serif;font-size:13.3333px"> and </span><code class="m_9147120524791673425gmail-parmname" style="font-size:0.9em;line-height:1.48;font-style:italic;color:rgb(17,17,17)">AuthPassword</code><span style="color:rgb(17,17,17);font-family:sans-serif;font-size:13.3333px">.</span>"  and "<span style="color:rgb(17,17,17);font-family:sans-serif;font-size:13.3333px">If SASL authentication is specified, the LDAP server uses SASL to authenticate the SASL user credentials specified by </span><code class="m_9147120524791673425gmail-parmname" style="font-size:0.9em;line-height:1.48;font-style:italic;color:rgb(17,17,17)">SASLUser</code><span style="color:rgb(17,17,17);font-family:sans-serif;font-size:13.3333px"> and </span><code class="m_9147120524791673425gmail-parmname" style="font-size:0.9em;line-height:1.48;font-style:italic;color:rgb(17,17,17)">SASLPassword</code><span style="color:rgb(17,17,17);font-family:sans-serif;font-size:13.3333px">. You must configure your LDAP server to enable SASL authentication, and to map SASL user names to LDAP server administrator names.</span>"</div><div dir="ltr"><div><br></div><div>I need to bind, but won't be sending an AuthPassword or SASLPassword.</div><div>Someone looked to be trying the same thing, I think, but it was never clearly resolved here,</div><div><a href="https://lists.open.com.au/pipermail/radiator/2013-April/019109.html" target="_blank">https://lists.open.com.au/pipermail/radiator/2013-April/019109.html</a> where they asked "I would like to check a user in LDAP server using SASL bind with admin certificate basically a external bind mechanism."</div><div><div><br></div><div>Maybe I'm too worried about this, not knowing much about LDAP - should setting<span style="color:rgb(0,0,0)"> "</span><font color="#000000">UseSSL" options just take care of this?  I can't really test much because I have no control over the server, which is operated by another distant group, and we've never had an LDAP server here.</font></div></div><div><br></div><div>Thanks</div>-- <br><div dir="ltr" class="m_9147120524791673425gmail_signature"><div dir="ltr">Jonathan Klay<br>IT Specialist<br>PMEL CNSD 206 526-6766<br><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>