दस्तावेज़ीकरण1.9. प्रतिकृति और टीएलएस
यदि आपने सर्वरों के बीच प्रतिकृति स्थापित की है, तो ईव्सड्रॉपिंग को रोकने के लिए प्रतिकृति ट्रैफ़िक को एन्क्रिप्ट (StartTLS) करना आम बात है। यह प्रमाणीकरण के साथ एन्क्रिप्शन का उपयोग करने से अलग है जैसा कि हमने ऊपर किया था। इस खंड में हम उस टीएलएस-प्रमाणीकरण कार्य पर निर्माण करेंगे।
यहाँ यह मान लिया गया है कि आपने प्रदाता और उपभोक्ता के बीच प्रतिकृति को धारा 1.6, “प्रतिकृति” [पृष्ठ 123] के अनुसार स्थापित किया है और प्रदाता पर प्रमाणीकरण के लिए धारा 1.8, “टी.एल.एस.” [पृष्ठ 129] का पालन करके टी.एल.एस. को कॉन्फ़िगर किया है।
जैसा कि पहले कहा गया है, प्रतिकृति के साथ उद्देश्य (हमारे लिए) एलडीएपी सेवा के लिए उच्च उपलब्धता है। चूंकि हमारे पास प्रदाता पर प्रमाणीकरण के लिए टीएलएस है, इसलिए हमें उपभोक्ता पर इसकी आवश्यकता होगी। इसके अलावा, हालांकि, हम प्रतिकृति यातायात को एन्क्रिप्ट करना चाहते हैं। उपभोक्ता के लिए एक कुंजी और प्रमाणपत्र बनाना और फिर उसके अनुसार कॉन्फ़िगर करना बाकी है। हम एक और CA प्रमाणपत्र बनाने से बचने के लिए, और फिर आवश्यक सामग्री को उपभोक्ता को हस्तांतरित करने से बचने के लिए, प्रदाता पर कुंजी/प्रमाण पत्र तैयार करेंगे।
1. प्रदाता पर,
एक होल्डिंग निर्देशिका बनाएं (जिसका उपयोग अंतिम हस्तांतरण के लिए किया जाएगा) और फिर उपभोक्ता की निजी कुंजी बनाएं:
mkdir ldap02-ssl सीडी ldap02-ssl
सुडो सर्टिफिकेट --जेनरेट-प्राइवकी \
--बिट्स 1024 \
--आउटफाइल ldap02_slapd_key.pem
एक जानकारी फ़ाइल बनाएँ, ldap02.info, उपभोक्ता सर्वर के लिए, इसके मानों को तदनुसार समायोजित करना:
संगठन = उदाहरण कंपनी cn = ldap02.example.com
tls_www_server एन्क्रिप्शन_कुंजी हस्ताक्षर_कुंजी समाप्ति_दिन = 3650
उपभोक्ता का प्रमाणपत्र बनाएं:
सुडो सर्टूल --जेनरेट-सर्टिफिकेट \
--लोड-निजी कुंजी ldap02_slapd_key.pem \
--load-ca-प्रमाणपत्र /etc/ssl/certs/cacert.pem \
--load-ca-privkey /etc/ssl/private/cakey.pem \
--टेम्पलेट ldap02.info \
--आउटफाइल ldap02_slapd_cert.pem
सीए प्रमाणपत्र की एक प्रति प्राप्त करें:
cp /etc/ssl/certs/cacert.pem ।
किये गए। अब ट्रांसफर करें ldap02-एसएसएल उपभोक्ता को निर्देशिका। यहां हम scp का उपयोग करते हैं (तदनुसार समायोजित करें):
सीडी ..
scp -r ldap02-ssl उपयोगकर्ता@उपभोक्ता:
2. उपभोक्ता पर,
टीएलएस प्रमाणीकरण कॉन्फ़िगर करें:
sudo apt ssl-cert स्थापित करें
sudo gpasswd -a openldap ssl-cert
सुडो सीपी ldap02_slapd_cert.pem cacert.pem /etc/ssl/certs sudo cp ldap02_slapd_key.pem /etc/ssl/private
sudo chgrp openldap /etc/ssl/private/ldap02_slapd_key.pem sudo chmod 0640 /etc/ssl/private/ldap02_slapd_key.pem sudo systemctl पुनरारंभ slapd.service
फ़ाइल बनाएँ /etc/ssl/certinfo.ldif निम्नलिखित सामग्री के साथ (तदनुसार समायोजित करें):
डीएन: सीएन = कॉन्फिग
जोड़ें: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
जोड़ें: olcTLSCसर्टिफिकेटफाइल
olcTLSCसर्टिफिकेटफाइल: /etc/ssl/certs/ldap02_slapd_cert.pem
-
जोड़ें: olcTLSCसर्टिफिकेटकीफाइल
olcTLSCसर्टिफिकेटकीफाइल: /etc/ssl/private/ldap02_slapd_key.pem
स्लैपड-कॉन्फ़िगरेशन डेटाबेस को कॉन्फ़िगर करें:
sudo ldapmodify -Y बाहरी -H ldapi:/// -f certinfo.ldif
कॉन्फ़िगर / etc / डिफ़ॉल्ट / थप्पड़ प्रदाता (SLAPD_SERVICES) के अनुसार।
3. उपभोक्ता पर,
उपभोक्ता-पक्ष प्रतिकृति के लिए TLS कॉन्फ़िगर करें। मौजूदा को संशोधित करें olcSyncrepl कुछ TLS विकल्पों को जोड़कर विशेषता को बदलें। ऐसा करते हुए, हम पहली बार देखेंगे कि किसी विशेषता के मान को कैसे बदला जाता है।
फ़ाइल बनाएँ Consumer_sync_tls.ldif निम्नलिखित सामग्री के साथ:
dn: olcDatabase={1}mdb,cn=config बदलें: olcSyncRepl
olcSyncRepl: छुटकारा = 0 प्रदाता = ldap: //ldap01.example.com बाइंडमेथोड = सरल बाइंडन = "सीएन = व्यवस्थापक, डीसी = उदाहरण, डीसी = कॉम" क्रेडेंशियल = गुप्त खोजबेस = "डीसी = उदाहरण, डीसी = कॉम" लॉगबेस = "cn=accesslog" logfilter="(&(objectClass=auditWriteObject)(reqResult=0))"स्कीमाचेकिंग=प्रकार पर=refreshAndPersist retry="60 +" syncdata=accesslog starttls=critical tls_reqcert=मांग
अतिरिक्त विकल्प क्रमशः निर्दिष्ट करते हैं, कि उपभोक्ता को StartTLS का उपयोग करना चाहिए और प्रदाता की पहचान को सत्यापित करने के लिए CA प्रमाणपत्र की आवश्यकता है। किसी विशेषता ('बदलें') के मानों को बदलने के लिए LDIF सिंटैक्स पर भी ध्यान दें।
इन परिवर्तनों को लागू करें:
sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f Consumer_sync_tls.ldif
और थप्पड़ पुनः आरंभ करें:
sudo systemctl पुनरारंभ slapd.service
4. प्रदाता पर,
जाँचें कि TLS सत्र स्थापित हो गया है या नहीं। / Var / log / syslog, बशर्ते आपके पास 'conns'- स्तर लॉगिंग सेट अप हो, आपको इसके समान संदेश दिखाई देने चाहिए:
slapd[3620]: conn=1047 fd=20 IP=10.153.107.229:57922 (IP=0.0.0.0:389) से स्वीकार करें slapd[3620]: conn=1047 op=0 EXT oid=1.3.6.1.4.1.1466.20037
थप्पड़ [3620]: conn=1047 op=0 STARTTLS
थप्पड़ [3620]: conn=1047 op=0 परिणाम oid= err=0 पाठ=
थप्पड़ [3620]: conn = 1047 एफडी = 20 टीएलएस स्थापित tls_ssf = 128 ssf = 128 थप्पड़ [3620]: कॉन = 1047 सेशन = 1 बाइंड डीएन = "सीएन = व्यवस्थापक, डीसी = उदाहरण, डीसी = कॉम" विधि = 128
थप्पड़ [3620]: कॉन = 1047 ऑप = 1 बाइंड डीएन = "सीएन = एडमिन, डीसी = उदाहरण, डीसी = कॉम" मेच = सरल एसएसएफ = 0 थप्पड़ [3620]: कॉन = 1047 सेशन = 1 परिणाम टैग = 97 त्रुटि = 0 पाठ