]> git.sur5r.net Git - openldap/blobdiff - doc/guide/admin/tls.sdf
projects / openldap / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
Updates for syncprov overlay
[openldap] / doc / guide / admin / tls.sdf
diff --git a/doc/guide/admin/tls.sdf b/doc/guide/admin/tls.sdf
index 4e24eb4d992889127e3e408913c0654b1442e7c2..182aa1dd8d2b1ba08deb1cc6777cb2821503cb26 100644 (file)
--- a/doc/guide/admin/tls.sdf
+++ b/doc/guide/admin/tls.sdf
@@ -1,4 +1,4 @@
-# Copyright 1999-2000, The OpenLDAP Foundation, All Rights Reserved.
+# Copyright 1999-2003, The OpenLDAP Foundation, All Rights Reserved.
 # COPYING RESTRICTIONS APPLY, see COPYRIGHT.
 
 H1: Using TLS
@@ -165,6 +165,20 @@ functionality is mostly the same. Also, while most of these options may
 be configured on a system-wide basis, they may all be overridden by
 individual users in their {{.ldaprc}} files.
 
+The LDAP Start TLS operation is used in LDAP to initiate TLS
+negotatation.  All OpenLDAP command line tools support a {{E:-Z}}
+and {{E:-ZZ}} flag to indicate whether a Start TLS operation is to
+be issued.  The latter flag indicates that the tool is to cease
+processing if TLS cannot be started while the former allows the
+command to continue.
+
+In LDAPv2 environments, TLS is normally started using the LDAP
+Secure URI scheme ({{EX:ldaps://}}) instead of the normal LDAP URI
+scheme ({{EX:ldap://}}).  OpenLDAP command line tools allow either
+scheme to used with the {{EX:-U}} flag and with the {{EX:URI}}
+{{ldap.conf}}(5) option.
+
+
 H4: TLS_CACERT <filename>
 
 This is equivalent to the server's {{EX:TLSCACertificateFile}} option. As
@@ -189,7 +203,7 @@ H4: TLS_KEY <filename>
 This directive specifies the file that contains the private key
 that matches the certificate stored in the {{EX:TLS_CERT}}
 file. The same constraints mentioned for {{EX:TLSCertificateKeyFile}}
-apply here. This is also user-only directive.
+apply here. This is also user-only directive.
 
 H4: TLS_RANDFILE <filename>
 
@@ -202,13 +216,3 @@ This directive is equivalent to the server's {{EX:TLSVerifyClient}}
 option. However, for clients the default value is {{EX:demand}}
 and there generally is no good reason to change this setting.
 
-H4: TLS { never | hard }
-
-This directive specifies whether client connections should use TLS
-by default. The default setting is {{EX:never}} which specifies that
-connections will be opened in the clear unless TLS is explicitly
-specified using an "ldaps://" URL. When set to {{EX:hard}} all
-connections will be established with TLS, as if an "ldaps://" URL
-was specified. Note that the use of ldaps is a holdover from LDAPv2
-and this setting is incompatible with the LDAPv3 StartTLS request.
-As such, it's best not to use this option.
Cloned from git://git.openldap.org/openldap.git