ایستگاه های کاری آنلاین OnWorks Linux و Windows

لوگو

میزبانی آنلاین رایگان برای ایستگاه های کاری

<قبلی | فهرست | بعدی>

1.8. TLS


هنگام احراز هویت در سرور OpenLDAP، بهتر است این کار را با استفاده از یک جلسه رمزگذاری شده انجام دهید. این را می توان با استفاده از امنیت لایه حمل و نقل (TLS) انجام داد.


در اینجا، ما خودمان خواهیم بود صدور گواهی و سپس گواهی سرور LDAP ما را به عنوان آن CA ایجاد و امضا کنید. از آنجایی که slapd با استفاده از کتابخانه gnutls کامپایل شده است، ما از ابزار certtool برای تکمیل این وظایف استفاده خواهیم کرد.


1. بسته‌های gnutls-bin و ssl-cert را نصب کنید:


sudo apt نصب gnutls-bin ssl-cert

2. یک کلید خصوصی برای مرجع صدور گواهی ایجاد کنید:


sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"

3. قالب/فایل را ایجاد کنید /etc/ssl/ca.info برای تعریف CA:


cn = نمونه شرکت حدود

cert_signing_key

4. گواهی CA با امضای خود را ایجاد کنید:


sudo certtool -- تولید خود امضا شده \

--load-privkey /etc/ssl/private/cakey.pem \

--template /etc/ssl/ca.info \

--outfile /etc/ssl/certs/cacert.pem

5. یک کلید خصوصی برای سرور بسازید:


تصویر

4 http://manpages.ubuntu.com/manpages/en/man5/slapd.access.5.html



sudo certtool --generate-privkey \

-- بیت 1024 \

--outfile /etc/ssl/private/ldap01_slapd_key.pem


تصویر

جایگزین کردن ldap01 در نام فایل با نام میزبان سرور شما. نامگذاری گواهی و کلید برای میزبان و سرویسی که از آنها استفاده خواهد کرد به روشن ماندن موارد کمک می کند.

6. ایجاد کنید /etc/ssl/ldap01.info فایل اطلاعات حاوی:


سازمان = شرکت نمونه cn = ldap01.example.com tls_www_server

encryption_key signing_key expiration_days = 3650


گواهی فوق برای 10 سال خوب است. بر این اساس تنظیم کنید.

7. گواهی سرور را ایجاد کنید:


sudo certtool -- تولید گواهی \

--load-privkey /etc/ssl/private/ldap01_slapd_key.pem \

--load-ca-certificate /etc/ssl/certs/cacert.pem \

--load-ca-privkey /etc/ssl/private/cakey.pem \

--template /etc/ssl/ldap01.info \

--outfile /etc/ssl/certs/ldap01_slapd_cert.pem

8. مجوزها و مالکیت را تنظیم کنید:


sudo chgrp openldap /etc/ssl/private/ldap01_slapd_key.pem sudo chmod 0640 /etc/ssl/private/ldap01_slapd_key.pem sudo gpasswd -a openldap ssl-cert

9. اکنون slapd را مجدداً راه اندازی کنید، زیرا کاربر 'openldap' را به گروه 'ssl-cert' اضافه کردیم:


sudo systemctl راه اندازی مجدد slapd.service


سرور شما اکنون آماده پذیرش پیکربندی جدید TLS است.


فایل را ایجاد کنید certinfo.ldif با محتویات زیر (بر این اساس تنظیم کنید، مثال ما فرض می کند که ما گواهی ها را با استفاده از https://www.cacert.org ایجاد کرده ایم):


dn: cn=config

افزودن: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem

-

اضافه کنید: olcTLSCertificateFile

olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem

-



اضافه کنید: olcTLSCertificateKeyFile

olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem


از دستور ldapmodify برای اطلاع دادن به slapd در مورد کار TLS خود از طریق پایگاه داده slapd-config استفاده کنید:


sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif


برخلاف تصور رایج، شما نیازی به آن ندارید ldaps:// in / etc / default / slapd به منظور استفاده از رمزگذاری شما باید فقط داشته باشید:


SLAPD_SERVICES="ldap:/// ldapi:///"


تصویر

LDAP بیش از TLS/SSL (ldaps://) به نفع منسوخ شده است StartTLS. مورد دوم به یک جلسه LDAP موجود (گوش دادن به درگاه TCP 389) اشاره دارد که توسط TLS/SSL محافظت می شود، در حالی که LDAPS، مانند HTTPS، یک پروتکل رمزگذاری شده مجزا از ابتدا است که روی پورت TCP 636 عمل می کند.


  

 

<قبلی | فهرست | بعدی>

  

برترین سیستم عامل Cloud Computing در OnWorks: