ssltap ツールによる SSL 通信の確認

ssltap ツールを使用すると、システムでハンドシェークが動作しているかどうかを確認できます。このツールは SSL プロキシのように機能し、LDAP クライアントと Directory Server の間の通信と、交換されるパッケージを表示します。たとえば、このツールを使用して、サーバーが証明書を要求してもクライアントが証明書を送信しない場所や、サーバーがサポートしていない暗号化方式群をクライアントが提案している場所を確認できる場合があります。

SSL ポート 636 はクライアント側でハードコードされているため、ssltap ツールは Directory Server 上で実行し、ポート 636 で受信クライアント要求を待機する必要があります。Directory Server の SSL ポートは、ssltap ツールを実行している間は 636 以外の番号に変更する必要があります。

たとえば、ssltap を次のように実行します。

ssltap -vhfsxl -p 636 localhost:637 > output.html

クライアント上で ldaplist のような単純な LDAP 要求を実行したあと、ツールによって SSL パケットが取得されているはずです。Ctrl キー + C キーを押してツールを停止し、ブラウザウィンドウに出力ファイルを表示します。出力データはカラーコード化されるため、クライアントから送信されたデータは青色で表示され、サーバーから送信されたデータは赤色で表示されます。