> 例えば、下記 2.1.5 には「通信には SSL が必要」と書いてある。

本当だ。
やっぱりちゃんとしたドキュメントには当然そう書いてあるんだねえ。
問題は、PADL 版のデフォルト設定が、SSL を使わないようになって
ることと、@IT の記事みたいに、SSL を使わなくても安全だと誤解
させる文書が出回ってて、このスレでも分かる通り、結構それを
信じている人が多いことかねえ。
ttp://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html

> けど、クライアント認証は現状非サポートとも書いてある。これだと結局
> 「知らない」ホストにパスワード持っていかれる穴が残るね。

いや、PADL版を使う場合 slapd.conf に
access to attrs=userPassword
        by self write
        by anonymous auth
        by * none
access to *
        by self write
        by * read
といった設定を入れても動作するし、だから普通はこういう設定を
してるわけ。でも、JF の HOWTO にはこの設定の記述がないのか…

PADL 版でこの設定を行なっている場合、ldapsearch で全員の userPassword
フィールドを盗まれる危険はない。もっとも userPassword 以外の情報
については、盗まれる危険があるので、他の手段でアクセス制限しない
といけないし、デフォルト設定だとパスワードが平文で流れちゃうけど。