<div dir="ltr"><div>Hi all,</div><div><br></div>Due to the lack of non-anonymous bind, i solved it by building a replicating ldap instance only bind to localhost on each proxmox node. This is a pain in the ass and very error prone - especially on schema changes, which have to be propagated to all nodes.<div><br></div><div>On Thu, Oct 8, 2015 at 11:57 AM, Dietmar Maurer <span dir="ltr"><<a href="mailto:dietmar@proxmox.com" target="_blank">dietmar@proxmox.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">IMHO this is a security risk (adding plain text passwords to www-data readable<br>files)</blockquote></div><div><br></div><div>I'd also like to get this feature into proxmox and I don't think that it's an security risk. Having anonymous bind is more insecure than non-anonymous binds iff (if-and-only-if) this non-anonymous bind is restricted on the ldap server side. I have a special query user for this which has only read permission on some attributes in a subtree.</div><div><br></div><div>There could be a problem binding to an SSL secured server with self-signed certificates. I don't think that there is (or should be) a GUI parameter to accept such a certificate. Is has to be configured as always directly in /etc/ldap/ldap.conf, hasn't it?</div><div class="gmail_extra"><br></div><div class="gmail_extra">Best,</div><div class="gmail_extra">Andreas<br><div class="gmail_quote"><br></div></div></div>