>> Both are not client authentication mechs if you don't use client
certificates. In most deployments the SSL/TLS protocol provides server
authentication and an encrypted data communication channel.<br>>> I'd simply support both. LDAPS has the advantage that you can really
mandate that the client must successfully establish an encrypted
channel *before* sending any LDAP PDU with possibly confidential
information.<br><br>Thanks for your info.  I probably will support both LDAPS and startTLS in my deployment.<br><br>>> start tls is an extended operation. Your ldap server may not support it. With start TLS part of the conversion happens unencrypted.<br>
Yup, fortunely Fedora DS supports startTLS.  :-)<br><br>- David<br><br><div class="gmail_quote">On Wed, Apr 9, 2008 at 7:14 PM, Edward Capriolo <<a href="mailto:edlinuxguru@gmail.com">edlinuxguru@gmail.com</a>> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">start tls is an extended operation. Your ldap server may not support<br>
it. With start TLS part of the conversion happens unencrypted.<br>
<div><div></div><div class="Wj3C7c"><br>
On Wed, Apr 9, 2008 at 6:37 PM, Michael Ströder <<a href="mailto:michael@stroeder.com">michael@stroeder.com</a>> wrote:<br>
> Chun Tat David Chu wrote:<br>
><br>
> ><br>
> > I'm currently looking into LDAP authentication and would like to know<br>
> about what is the preferred authentication mechanism.  If I want to use TLS<br>
> for authentication, should I use LDAPS or startTLS?<br>
> ><br>
><br>
>  Both are not client authentication mechs if you don't use client<br>
> certificates. In most deployments the SSL/TLS protocol provides server<br>
> authentication and an encrypted data communication channel.<br>
><br>
><br>
><br>
> > I surfed on the Internet, and it appears that startTLS should be<br>
> deprecating LDAPS but a lot of people are still using LDAPS today.<br>
> ><br>
><br>
>  I'd simply support both. LDAPS has the advantage that you can really<br>
> mandate that the client must successfully establish an encrypted channel<br>
> *before* sending any LDAP PDU with possibly confidential information.<br>
><br>
>  Ciao, Michael.<br>
><br>
><br>
><br>
>  --<br>
>  Fedora-directory-users mailing list<br>
>  <a href="mailto:Fedora-directory-users@redhat.com">Fedora-directory-users@redhat.com</a><br>
>  <a href="https://www.redhat.com/mailman/listinfo/fedora-directory-users" target="_blank">https://www.redhat.com/mailman/listinfo/fedora-directory-users</a><br>
><br>
<br>
--<br>
Fedora-directory-users mailing list<br>
<a href="mailto:Fedora-directory-users@redhat.com">Fedora-directory-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/fedora-directory-users" target="_blank">https://www.redhat.com/mailman/listinfo/fedora-directory-users</a><br>
</div></div></blockquote></div><br>