OnWorks Linux dan Windows Online Workstations

logo

Pengehosan Dalam Talian Percuma untuk Workstation

<Sebelum | Contents [show] | Seterusnya>

1.9. Replikasi dan TLS


Jika anda telah menyediakan replikasi antara pelayan, adalah menjadi amalan biasa untuk menyulitkan (StartTLS) trafik replikasi untuk mengelakkan evesdropping. Ini berbeza daripada menggunakan penyulitan dengan pengesahan seperti yang kami lakukan di atas. Dalam bahagian ini kami akan membina kerja pengesahan TLS itu.


Andaian di sini ialah anda telah menyediakan replikasi antara Pembekal dan Pengguna mengikut Seksyen 1.6, “Replikasi” [m.s. 123] dan telah mengkonfigurasi TLS untuk pengesahan pada Pembekal dengan mengikuti Bahagian 1.8, “TLS” [m.s. 129].


Seperti yang dinyatakan sebelum ini, objektif (untuk kami) dengan replikasi adalah ketersediaan tinggi untuk perkhidmatan LDAP. Memandangkan kami mempunyai TLS untuk pengesahan pada Pembekal, kami akan memerlukan perkara yang sama pada Pengguna. Di samping itu, bagaimanapun, kami ingin menyulitkan trafik replikasi. Apa yang perlu dilakukan ialah mencipta kunci dan sijil untuk Pengguna dan kemudian mengkonfigurasi dengan sewajarnya. Kami akan menjana kunci/sijil pada Pembekal, untuk mengelakkan daripada membuat sijil CA yang lain, dan kemudian memindahkan bahan yang diperlukan kepada Pengguna.

1. Pada Pembekal,


Buat direktori pegangan (yang akan digunakan untuk pemindahan akhirnya) dan kemudian kunci peribadi Pengguna:


mkdir ldap02-ssl cd ldap02-ssl

sudo certtool --generate-privkey \

--bit 1024 \

--outfile ldap02_slapd_key.pem


Buat fail maklumat, ldap02.info, untuk pelayan Pengguna, melaraskan nilainya dengan sewajarnya:


organisasi = Contoh Syarikat cn = ldap02.example.com



tls_www_server encryption_key signing_key expiration_days = 3650


Buat sijil Pengguna:


sudo certtool --generate-certificate \

--load-privkey ldap02_slapd_key.pem \

--load-ca-certificate /etc/ssl/certs/cacert.pem \

--load-ca-privkey /etc/ssl/private/cakey.pem \

--template ldap02.info \

--outfile ldap02_slapd_cert.pem


Dapatkan salinan sijil CA:


cp /etc/ssl/certs/cacert.pem .


Telah siap. Sekarang pindahkan ldap02-ssl direktori kepada Pengguna. Di sini kami menggunakan scp (laraskan dengan sewajarnya):


cd ..

scp -r ldap02-ssl pengguna@pengguna:


2. Mengenai Pengguna,


Konfigurasikan pengesahan TLS:


sudo apt install ssl-cert

sudo gpasswd -a openldap ssl-cert

sudo cp ldap02_slapd_cert.pem cacert.pem /etc/ssl/certs sudo cp ldap02_slapd_key.pem /etc/ssl/private

sudo chgrp openldap /etc/ssl/private/ldap02_slapd_key.pem sudo chmod 0640 /etc/ssl/private/ldap02_slapd_key.pem sudo systemctl mulakan semula slapd.service


Buat fail /etc/ssl/certinfo.ldif dengan kandungan berikut (laraskan dengan sewajarnya):


dn: cn=config

tambah: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem

-

tambah: olcTLSCertificateFile

olcTLSCertificateFile: /etc/ssl/certs/ldap02_slapd_cert.pem

-

tambah: olcTLSCertificateKeyFile

olcTLSCertificateKeyFile: /etc/ssl/private/ldap02_slapd_key.pem


Konfigurasikan pangkalan data slapd-config:



sudo ldapmodify -Y LUARAN -H ldapi:/// -f certinfo.ldif


Konfigurasi / etc / default / slapd seperti pada Pembekal (SLAPD_SERVICES).

3. Mengenai Pengguna,


Konfigurasikan TLS untuk replikasi sisi Pengguna. Ubah suai yang sedia ada olcSyncrepl atribut dengan melekat pada beberapa pilihan TLS. Dengan berbuat demikian, kita akan melihat, buat kali pertama, cara menukar nilai atribut.


Buat fail consumer_sync_tls.ldif dengan kandungan berikut:


dn: olcDatabase={1}mdb,cn=config ganti: olcSyncRepl

olcSyncRepl: rid=0 provider=ldap://ldap01.example.com bindmethod=simple binddn="cn=admin,dc=example,dc=com" credentials=secret searchbase="dc=example,dc=com" logbase= "cn=accesslog" logfilter="(&(objectClass=auditWriteObject)(reqResult=0))" schemachecking=on type=refreshAndPersist retry="60 +" syncdata=accesslog starttls=critical tls_reqcert=demand


Pilihan tambahan menyatakan, masing-masing, bahawa pengguna mesti menggunakan StartTLS dan sijil CA diperlukan untuk mengesahkan identiti Pembekal. Perhatikan juga sintaks LDIF untuk menukar nilai atribut ('replace').


Laksanakan perubahan ini:


sudo ldapmodify -Y LUARAN -H ldapi:/// -f consumer_sync_tls.ldif


Dan mulakan semula slapd:


sudo systemctl mulakan semula slapd.service


4. Pada Pembekal,


Semak untuk melihat bahawa sesi TLS telah diwujudkan. Dalam / var / log / syslog, dengan syarat anda telah menyediakan pengelogan peringkat 'conns', anda akan melihat mesej yang serupa dengan:


slapd[3620]: conn=1047 fd=20 TERIMA daripada IP=10.153.107.229:57922 (IP=0.0.0.0:389) slapd[3620]: conn=1047 op=0 EXT oid=1.3.6.1.4.1.1466.20037

tampar[3620]: conn=1047 op=0 STARTTLS

slapd[3620]: conn=1047 op=0 KEPUTUSAN oid= err=0 text=

slapd[3620]: conn=1047 fd=20 TLS ditubuhkan tls_ssf=128 ssf=128 slapd[3620]: conn=1047 op=1 BIND dn="cn=admin,dc=example,dc=com" method=128

slapd[3620]: conn=1047 op=1 BIND dn="cn=admin,dc=example,dc=com" mech=SIMPLE ssf=0 slapd[3620]: conn=1047 op=1 RESULT tag=97 err= 0 teks


  

 

<Sebelum | Contents [show] | Seterusnya>

  

Pengkomputeran Awan OS teratas di OnWorks: