Dokumentasi<Sebelumnya | Konten | Selanjutnya>
1.8. TLS
Saat mengautentikasi ke server OpenLDAP, yang terbaik adalah melakukannya menggunakan sesi terenkripsi. Ini dapat dicapai dengan menggunakan Transport Layer Security (TLS).
Di sini, kita akan menjadi milik kita sendiri Otoritas sertifikat lalu buat dan tandatangani sertifikat server LDAP kami sebagai CA itu. Karena slapd dikompilasi menggunakan pustaka gnutls, kita akan menggunakan utilitas certtool untuk menyelesaikan tugas-tugas ini.
1. Instal paket gnutls-bin dan ssl-cert:
sudo apt install gnutls-bin ssl-cert
2. Buat kunci pribadi untuk Otoritas Sertifikat:
sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"
3. Buat template/file /etc/ssl/ca.info untuk menentukan CA:
cn = Contoh Perusahaan ca
sertifikat_penandatanganan_kunci
4. Buat sertifikat CA yang ditandatangani sendiri:
sudo certtool --hasilkan-ditandatangani sendiri \
--load-privkey /etc/ssl/private/cakey.pem \
--templat /etc/ssl/ca.info \
--file keluar /etc/ssl/certs/cacert.pem
5. Buat kunci pribadi untuk server:
4 http://manpages.ubuntu.com/manpages/en/man5/slapd.access.5.html
sudo certtool --hasilkan-privkey \
--bit 1024 \
--file keluar /etc/ssl/private/ldap01_slapd_key.pem
menggantikan ldap01 dalam nama file dengan nama host server Anda. Memberi nama sertifikat dan kunci untuk host dan layanan yang akan menggunakannya akan membantu menjaga semuanya tetap jelas.
6. Buat /etc/ssl/ldap01.info file info yang berisi:
organisasi = Contoh Perusahaan cn = ldap01.example.com tls_www_server
enkripsi_penandatanganan_kunci kedaluwarsa_hari = 3650
Sertifikat di atas berlaku selama 10 tahun. Sesuaikan.
7. Buat sertifikat server:
sudo certtool --hasilkan-sertifikat \
--load-privkey /etc/ssl/private/ldap01_slapd_key.pem \
--load-ca-sertifikat /etc/ssl/certs/cacert.pem \
--load-ca-privkey /etc/ssl/private/cakey.pem \
--templat /etc/ssl/ldap01.info \
--file keluar /etc/ssl/certs/ldap01_slapd_cert.pem
8. Sesuaikan izin dan kepemilikan:
sudo chgrp openldap /etc/ssl/private/ldap01_slapd_key.pem sudo chmod 0640 /etc/ssl/private/ldap01_slapd_key.pem sudo gpasswd -a openldap ssl-cert
9. Sekarang restart slapd, karena kita menambahkan pengguna 'openldap' ke grup 'ssl-cert':
sudo systemctl restart tamparan.layanan
Server Anda sekarang siap menerima konfigurasi TLS baru.
Buat filenya certinfo.ldif dengan konten berikut (sesuaikan dengan itu, contoh kami mengasumsikan kami membuat sertifikat menggunakan https://www.cacert.org):
dn: cn=konfigurasi
tambahkan: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
tambahkan: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
tambahkan: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem
Gunakan perintah ldapmodify untuk memberi tahu slapd tentang pekerjaan TLS kami melalui database slapd-config:
sudo ldapmodify -Y EKSTERNAL -H ldapi:/// -f certinfo.ldif
Bertentangan dengan kepercayaan populer, Anda tidak perlu ldaps:// in / etc / default / slapd untuk menggunakan enkripsi. Anda seharusnya hanya:
SLAPD_SERVICES="ldap:/// ldapi:///"
LDAP melalui TLS/SSL (ldaps://) tidak digunakan lagi karena MulaiTLS. Yang terakhir mengacu pada sesi LDAP yang ada (mendengarkan pada port TCP 389) menjadi dilindungi oleh TLS/SSL sedangkan LDAPS, seperti HTTPS, adalah protokol terenkripsi-dari-mulai yang berbeda yang beroperasi melalui port TCP 636.