华三无线控制器：要 LDAP 服务器端口不是默认 389，AC 会强制自动发起 LDAPS

这个说法是不准确的。

在 H3C 的 Comware V7 平台上，AC 与 LDAP 服务器之间是否启用 TLS/SSL 加密，是由明确的配置决定的，并不会因为端口号非 389 就被强制切换。

 LDAPS 连接是如何“被强制”的？

您观察到的现象，可能是因为在配置时有一些潜在的规则被触发了。通常有两种情况会导致看似“被强制”的 SSL 连接：

• 情况一：ldap-server 视图下的 SSL 配置
  如果您在配置LDAP服务器的特定参数时，启用了SSL相关的选项，那么AC自然会尝试与LDAP服务器建立加密连接。

• 情况二：依赖于 SSL 策略（ssl-server-policy）
  在一些对安全性要求较高的认证场景（如 802.1X 认证），AC可能需要与RADIUS等服务器建立 SSL/TLS 加密通道。这时需要引用预先配置好的 SSL 服务器端策略（ssl-server-policy）。当这一层的安全策略被激活后，其加密要求会“往下”传递，使得AC在与LDAP服务器通信时也必须遵从加密。

• 补充说明：关于部分 H3C 产品不支持加密同步的官方描述，虽然从侧面印证了设备行为并非简单由端口决定，但可能与AC的设备角色和软件版本的具体功能支持有关。您需要结合自身情况重点参考前两种情况。

 如何强制使用明文（关闭LDAPS）？

如果确实需要关闭加密，可以按以下步骤操作：

1. 确认并删除SSL策略引用：
   首先，检查当前使用的认证方案或服务中是否引用了SSL策略。例如在802.1X认证中，可以用 display dot1x 命令检查配置。

   [AC] display current-configuration | include ssl-server-policy如果发现引用，需要进入相应的配置视图（如 dot1x-authentication 视图）删除该引用。

2. 检查并修改LDAP服务器配置：
   进入LDAP服务器视图，确认没有任何尝试建立TLS/SSL连接的参数。

   [AC] ldap server <server-name>

   [AC-ldap-server-<server-name>] undo ldap-server ssl enable # 如果有类似命令对比目前的配置与官方示例进行核对。

3. 配置明文端口：
   确保LDAP服务器端口设置为标准的明文通信端口 389。

   [AC-ldap-server-<server-name>] port 389

一、现象确认（和你描述一致）

• 端口 = 389（默认）：AC 发 明文 LDAP。
• 端口 ≠ 389（比如 3890、1389）：AC 自动强制 LDAPS，目标端口变成你配置的端口，但协议是 SSL/TLS，服务器没开 LDAPS 就直接连不上 / 握手失败。

二、能不能 “关闭” 强制 LDAPS、改用明文？

1. 必须使用命令行显式指定 no-ssl

• 必须同时写端口 + no-ssl
• 只要带了 no-ssl，无论端口是不是 389，都走明文 LDAP

2. 示例（端口 1389，明文）

3. 为什么你之前可能不行？

• 只配了端口，没加 no-ssl → 非 389 端口自动走 LDAPS。
• 用 Web UI 配置：ESS5608 的 Web 界面没有 no-ssl 选项，只能用命令行。

三、版本与后续建议

• ESS5608：硬编码 + Web 无选项，只能命令行带 no-ssl 强制明文。
• 后续版本（如 ESS570+）：UI 增加了 “SSL 开关”，可以直接图形化关闭。

四、快速验证是否走明文

• SSL: No → 明文成功。
• SSL: Yes → 还是 LDAPS，检查配置有没有漏 no-ssl。