Documentatie1.8. TLS
Bij authenticatie bij een OpenLDAP-server kunt u dit het beste doen via een gecodeerde sessie. Dit kan worden bereikt met behulp van Transport Layer Security (TLS).
Hier zullen we de onze zijn Certificate Authority en maak en onderteken vervolgens ons LDAP-servercertificaat als die CA. Omdat slapd is gecompileerd met behulp van de gnutls-bibliotheek, zullen we het hulpprogramma certtool gebruiken om deze taken uit te voeren.
1. Installeer de gnutls-bin- en ssl-cert-pakketten:
sudo apt installeer gnutls-bin ssl-cert
2. Maak een privésleutel voor de certificeringsinstantie:
sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"
3. Maak het sjabloon/bestand /etc/ssl/ca.info om de CA te definiëren:
cn = Voorbeeldbedrijf ca
cert_signing_key
4. Maak het zelfondertekende CA-certificaat:
sudo certtool --generate-self-signed \
--load-privkey /etc/ssl/private/cakey.pem \
--sjabloon /etc/ssl/ca.info \
--outfile /etc/ssl/certs/cacert.pem
5. Maak een privésleutel voor de server:
4 http://manpages.ubuntu.com/manpages/en/man5/slapd.access.5.html
sudo certtool --generate-privkey \
--bits 1024 \
--outfile /etc/ssl/private/ldap01_slapd_key.pem
vervangen ldap01 in de bestandsnaam met de hostnaam van uw server. Door het certificaat en de sleutel een naam te geven voor de host en de service die ze gaat gebruiken, blijft alles duidelijk.
6. Maak de /etc/ssl/ldap01.info infobestand met daarin:
organisatie = Voorbeeldbedrijf cn = ldap01.example.com tls_www_server
encryptie_sleutel ondertekening_sleutelvervaldagen = 3650
Bovenstaand certificaat is 10 jaar geldig. Pas dienovereenkomstig aan.
7. Maak het servercertificaat aan:
sudo certtool --generate-certificaat \
--load-privkey /etc/ssl/private/ldap01_slapd_key.pem \
--load-ca-certificaat /etc/ssl/certs/cacert.pem \
--load-ca-privkey /etc/ssl/private/cakey.pem \
--sjabloon /etc/ssl/ldap01.info \
--outfile /etc/ssl/certs/ldap01_slapd_cert.pem
8. Pas rechten en eigendom aan:
sudo chgrp openldap /etc/ssl/private/ldap01_slapd_key.pem sudo chmod 0640 /etc/ssl/private/ldap01_slapd_key.pem sudo gpasswd -a openldap ssl-cert
9. Start nu slapd opnieuw op, aangezien we de 'openldap'-gebruiker aan de 'ssl-cert'-groep hebben toegevoegd:
sudo systemctl herstart slapd.service
Uw server is nu klaar om de nieuwe TLS-configuratie te accepteren.
Maak het bestand certinfo.ldif met de volgende inhoud (pas dienovereenkomstig aan, ons voorbeeld gaat ervan uit dat we certificaten hebben gemaakt met behulp van https://www.cacert.org):
dn: cn=config
toevoegen: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
toevoegen: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
toevoegen: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem
Gebruik de opdracht ldapmodify om slapd te vertellen over ons TLS-werk via de slapd-config database:
sudo ldapmodify -Y EXTERN -H ldapi:/// -f certinfo.ldif
In tegenstelling tot wat vaak wordt gedacht, heb je dat niet nodig ldaps:// in / etc / default / slapd om encryptie te gebruiken. Je zou gewoon:
SLAPD_SERVICES="ldap:/// ldapi:///"
LDAP via TLS/SSL (ldaps://) wordt afgeschaft ten gunste van StartTLS. Dit laatste verwijst naar een bestaande LDAP-sessie (luisteren op TCP-poort 389) die wordt beschermd door TLS/SSL, terwijl LDAPS, net als HTTPS, een duidelijk gecodeerd vanaf het begin protocol is dat werkt via TCP-poort 636.