dokumentasi<Sebelum | Contents [show] | Seterusnya>
1.8. TLS
Apabila mengesahkan ke pelayan OpenLDAP, sebaiknya lakukannya menggunakan sesi yang disulitkan. Ini boleh dicapai menggunakan Keselamatan Lapisan Pengangkutan (TLS).
Di sini, kita akan menjadi milik kita sendiri Pihak Berkuasa Sijil dan kemudian buat dan tandatangani sijil pelayan LDAP kami sebagai CA itu. Memandangkan slapd disusun menggunakan perpustakaan gnutls, kami akan menggunakan utiliti certtool untuk menyelesaikan tugasan ini.
1. Pasang pakej gnutls-bin dan ssl-cert:
sudo apt install gnutls-bin ssl-cert
2. Cipta kunci peribadi untuk Pihak Berkuasa Sijil:
sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"
3. Cipta templat/fail /etc/ssl/ca.info untuk menentukan CA:
cn = Contoh Syarikat ca
kunci_tandatangan_sijil
4. Buat sijil CA yang ditandatangani sendiri:
sudo certtool --generate-self-signed \
--load-privkey /etc/ssl/private/cakey.pem \
--template /etc/ssl/ca.info \
--outfile /etc/ssl/certs/cacert.pem
5. Buat kunci peribadi untuk pelayan:
4 http://manpages.ubuntu.com/manpages/en/man5/slapd.access.5.html
sudo certtool --generate-privkey \
--bit 1024 \
--outfile /etc/ssl/private/ldap01_slapd_key.pem
Ganti ldap01 dalam nama fail dengan nama hos pelayan anda. Menamakan sijil dan kunci untuk hos dan perkhidmatan yang akan menggunakannya akan membantu memastikan perkara itu jelas.
6. Cipta /etc/ssl/ldap01.info fail maklumat yang mengandungi:
organisasi = Contoh Syarikat cn = ldap01.example.com tls_www_server
encryption_key signing_key expiration_days = 3650
Sijil di atas adalah baik untuk 10 tahun. Laraskan sewajarnya.
7. Buat sijil pelayan:
sudo certtool --generate-certificate \
--load-privkey /etc/ssl/private/ldap01_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/cacert.pem \
--load-ca-privkey /etc/ssl/private/cakey.pem \
--template /etc/ssl/ldap01.info \
--outfile /etc/ssl/certs/ldap01_slapd_cert.pem
8. Laraskan kebenaran dan pemilikan:
sudo chgrp openldap /etc/ssl/private/ldap01_slapd_key.pem sudo chmod 0640 /etc/ssl/private/ldap01_slapd_key.pem sudo gpasswd -a openldap ssl-cert
9. Sekarang mulakan semula slapd, kerana kami menambah pengguna 'openldap' kepada kumpulan 'ssl-cert':
sudo systemctl mulakan semula slapd.service
Pelayan anda kini bersedia untuk menerima konfigurasi TLS baharu.
Buat fail certinfo.ldif dengan kandungan berikut (laraskan dengan sewajarnya, contoh kami menganggap kami mencipta sijil menggunakan https://www.cacert.org):
dn: cn=config
tambah: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
tambah: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
tambah: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem
Gunakan perintah ldapmodify untuk memberitahu slapd tentang kerja TLS kami melalui pangkalan data slapd-config:
sudo ldapmodify -Y LUARAN -H ldapi:/// -f certinfo.ldif
Bertentangan dengan kepercayaan popular, anda tidak perlu ldaps:// in / etc / default / slapd untuk menggunakan penyulitan. Anda sepatutnya hanya:
SLAPD_SERVICES="ldap:/// ldapi:///"
LDAP melalui TLS/SSL (ldaps://) ditamatkan dan memihak kepada PermulaanTLS. Yang terakhir merujuk kepada sesi LDAP sedia ada (mendengar pada port TCP 389) yang dilindungi oleh TLS/SSL manakala LDAPS, seperti HTTPS, ialah protokol disulitkan-dari-mula yang berbeza yang beroperasi melalui port TCP 636.