Dokumentation1.8. TLS
Wenn Sie sich bei einem OpenLDAP-Server authentifizieren, verwenden Sie am besten eine verschlüsselte Sitzung. Dies kann mithilfe von Transport Layer Security (TLS) erreicht werden.
Hier werden wir unser Eigentum sein Zertifizierungsstelle Anschließend erstellen und signieren Sie unser LDAP-Serverzertifikat als diese Zertifizierungsstelle. Da slapd mit der Gnutls-Bibliothek kompiliert wird, verwenden wir das Dienstprogramm certtool, um diese Aufgaben auszuführen.
1. Installieren Sie die Pakete gnutls-bin und ssl-cert:
sudo apt install gnutls-bin ssl-cert
2. Erstellen Sie einen privaten Schlüssel für die Zertifizierungsstelle:
sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"
3. Erstellen Sie die Vorlage/Datei /etc/ssl/ca.info So definieren Sie die CA:
cn = Beispielunternehmen ca
cert_signing_key
4. Erstellen Sie das selbstsignierte CA-Zertifikat:
sudo certtool --generate-self-signed \
--load-privkey /etc/ssl/private/cakey.pem \
--template /etc/ssl/ca.info \
--outfile /etc/ssl/certs/cacert.pem
5. Erstellen Sie einen privaten Schlüssel für den Server:
4 http://manpages.ubuntu.com/manpages/en/man5/slapd.access.5.html
sudo certtool --generate-privkey \
--bits 1024 \
--outfile /etc/ssl/private/ldap01_slapd_key.pem
Ersetzen ldap01 im Dateinamen den Hostnamen Ihres Servers ein. Die Benennung des Zertifikats und des Schlüssels für den Host und Dienst, der sie verwenden wird, trägt zur Klarheit bei.
6. Erstellen Sie die /etc/ssl/ldap01.info Infodatei mit:
Organization = Beispielunternehmen cn = ldap01.example.com tls_www_server
crypto_key signing_key expiration_days = 3650
Das obige Zertifikat ist 10 Jahre lang gültig. Dementsprechend anpassen.
7. Erstellen Sie das Zertifikat des Servers:
sudo certtool --generate-certificate \
--load-privkey /etc/ssl/private/ldap01_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/cacert.pem \
--load-ca-privkey /etc/ssl/private/cakey.pem \
--template /etc/ssl/ldap01.info \
--outfile /etc/ssl/certs/ldap01_slapd_cert.pem
8. Passen Sie Berechtigungen und Eigentum an:
sudo chgrp openldap /etc/ssl/private/ldap01_slapd_key.pem sudo chmod 0640 /etc/ssl/private/ldap01_slapd_key.pem sudo gpasswd -a openldap ssl-cert
9. Starten Sie nun slapd neu, da wir den Benutzer „openldap“ zur Gruppe „ssl-cert“ hinzugefügt haben:
sudo systemctl startet slapd.service neu
Ihr Server ist nun bereit, die neue TLS-Konfiguration zu akzeptieren.
Erstellen Sie die Datei certinfo.ldif mit folgendem Inhalt (entsprechend anpassen, unser Beispiel geht davon aus, dass wir Zertifikate mit https://www.cacert.org erstellt haben):
dn: cn=config
hinzufügen: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
hinzufügen: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
hinzufügen: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem
Verwenden Sie den Befehl ldapmodify, um slapd über die Datenbank slapd-config über unsere TLS-Arbeit zu informieren:
sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif
Entgegen der landläufigen Meinung brauchen Sie das nicht ldaps:// in / etc / default / slapd um die Verschlüsselung zu nutzen. Sie sollten nur Folgendes haben:
SLAPD_SERVICES="ldap:/// ldapi:///"
LDAP über TLS/SSL (ldaps://) ist zugunsten von veraltet StartTLS. Letzteres bezieht sich darauf, dass eine bestehende LDAP-Sitzung (die TCP-Port 389 überwacht) durch TLS/SSL geschützt wird, während LDAPS wie HTTPS ein eindeutiges, von Anfang an verschlüsseltes Protokoll ist, das über TCP-Port 636 läuft.