StartTLS
Operacja StartTLS ustanawia szyfrowanie TLS (Transport Layer Security) w połączeniu sieciowym. Zapewnia to poufność danych (zabezpieczenie przed możliwością odczytania danych przez osoby trzecie) oraz ochronę integralności danych (zabezpieczenie danych przed ich modyfikacją). Podczas negocjacji szyfrowania TLS serwer wysyła swój certyfikat X.509, aby potwierdzić swoją tożsamość. Klient może także przesłać swój certyfikat w celu potwierdzenia swojej tożsamości. Następnie klient może wysłać SASL/EXTERNAL. Użycie SASL/EXTERNAL oznacza, że klient żąda, aby serwer ustalił swoją tożsamość na podstawie poświadczeń dostarczonych na niższym poziomie (np. TLS). Z technicznego punktu widzenia serwer może użyć informacji o tożsamości ustanowionych na dowolnym niższym poziomie, jednak zazwyczaj serwer użyje tożsamości ustanowionej przez warstwę TLS.
Ponadto serwery często obsługują niestandardowy protokół LDAPS (często określany jako LDAP nad protokołem SSL) na osobnym porcie (domyślnie jest to port 636).
Protokół LDAPS różni się od LDAP w dwóch aspektach:
- Podczas ustanawiania połączenia klient i serwer ustanawiają zabezpieczenia TLS przed transmisją jakichkolwiek wiadomości LDAP (nie używa operacji StartTLS).
- Po zamknięciu połączenia TLS połączenie LDAPS również musi zostać zamknięte.
Protokół LDAPS był używany wraz z protokołem LDAP v2, ponieważ operacja StartTLS nie była jeszcze wtedy zdefiniowana. Obecnie protokół LDAPS jest traktowany jako przestarzały i nowe oprogramowanie powinno korzystać tylko ze StartTLS oraz z jego nowszych wersji.