Documentación<Anterior | Contenido | Siguiente>
1.8. TLS
Al autenticarse en un servidor OpenLDAP, es mejor hacerlo mediante una sesión cifrada. Esto se puede lograr utilizando Transport Layer Security (TLS).
Aquí seremos nuestros Autoridad certificada y luego cree y firme nuestro certificado de servidor LDAP como esa CA. Dado que slapd se compila usando la biblioteca gnutls, usaremos la utilidad certtool para completar estas tareas.
1. Instale los paquetes gnutls-bin y ssl-cert:
sudo apt instalar gnutls-bin ssl-cert
2. Cree una clave privada para la autoridad de certificación:
sudo sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"
3. Cree la plantilla / archivo /etc/ssl/ca.info para definir la CA:
cn = Empresa de ejemplo ca
clave_de_firma_certificada
4. Cree el certificado CA autofirmado:
sudo certtool --generate-self-signing \
--load-privkey /etc/ssl/private/cakey.pem \
--plantilla /etc/ssl/ca.info \
--archivo de salida /etc/ssl/certs/cacert.pem
5. Cree una clave privada para el servidor:
4 http://manpages.ubuntu.com/manpages/en/man5/slapd.access.5.html
sudo certtool --generar clave privada \
- bits 1024 \
--archivo de salida /etc/ssl/private/ldap01_slapd_key.pem
Reemplaza ldap01 en el nombre de archivo con el nombre de host de su servidor. Nombrar el certificado y la clave para el host y el servicio que los utilizará ayudará a mantener las cosas claras.
6. Cree el /etc/ssl/ldap01.info archivo de información que contiene:
organización = Compañía de ejemplo cn = ldap01.example.com tls_www_server
clave de cifrado clave de firma días de expiración = 3650
El certificado anterior es válido por 10 años. Ajustar en consecuencia.
7. Cree el certificado del servidor:
sudo certtool --generar certificado \
--load-privkey /etc/ssl/private/ldap01_slapd_key.pem \
--load-ca-certificado /etc/ssl/certs/cacert.pem \
--load-ca-privkey /etc/ssl/private/cakey.pem \
--plantilla /etc/ssl/ldap01.info \
--archivo de salida /etc/ssl/certs/ldap01_slapd_cert.pem
8. Ajuste los permisos y la propiedad:
sudo chgrp openldap /etc/ssl/private/ldap01_slapd_key.pem sudo chmod 0640 /etc/ssl/private/ldap01_slapd_key.pem sudo gpasswd -a openldap ssl-cert
9. Ahora reinicie slapd, ya que agregamos el usuario 'openldap' al grupo 'ssl-cert':
sudo systemctl reiniciar slapd.service
Su servidor ahora está listo para aceptar la nueva configuración de TLS.
Crea el archivo certinfo.ldif con el siguiente contenido (ajuste en consecuencia, nuestro ejemplo asume que creamos certificados usando https://www.cacert.org):
dn: cn = config
agregar: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
añadir: olcTLSCertificateFile
Archivo de certificado olcTLSC: /etc/ssl/certs/ldap01_slapd_cert.pem
-
añadir: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem
Utilice el comando ldapmodify para informar a slapd sobre nuestro trabajo TLS a través de la base de datos slapd-config:
sudo ldapmodify -Y EXTERNAL -H ldapi: /// -f certinfo.ldif
Contrariamente a la creencia popular, no es necesario ldaps: // in / etc / default / slapd para utilizar el cifrado. Deberías tener solo:
SLAPD_SERVICES = "ldap: /// ldapi: ///"
LDAP sobre TLS / SSL (ldaps: //) está obsoleto en favor de StartTLS. Este último se refiere a una sesión LDAP existente (escuchando en el puerto TCP 389) que se vuelve protegida por TLS / SSL, mientras que LDAPS, como HTTPS, es un protocolo encriptado desde el principio que opera sobre el puerto TCP 636.