Documentație1.9. Replicare și TLS
Dacă ați configurat replicarea între servere, este o practică obișnuită să criptați (StartTLS) traficul de replicare pentru a preveni interceptarea. Acest lucru este diferit de utilizarea criptării cu autentificare, așa cum am făcut mai sus. În această secțiune ne vom baza pe acea activitate de autentificare TLS.
Presupunerea aici este că ați configurat replicarea între Furnizor și Consumator conform Secțiunii 1.6, „Replicare” [p. 123] și au configurat TLS pentru autentificare la Furnizor urmând Secțiunea 1.8, „TLS” [p. 129].
După cum sa menționat anterior, obiectivul (pentru noi) cu replicare este disponibilitatea ridicată pentru serviciul LDAP. Deoarece avem TLS pentru autentificare la Furnizor, vom solicita același lucru pentru Consumator. Pe lângă aceasta, totuși, dorim să criptăm traficul de replicare. Ceea ce rămâne de făcut este să creați o cheie și un certificat pentru Consumator și apoi să configurați în consecință. Vom genera cheia/certificatul pe Furnizor, pentru a evita crearea unui alt certificat CA, iar apoi vom transfera materialul necesar către Consumator.
1. Pe Furnizor,
Creați un director de stocare (care va fi folosit pentru eventualul transfer) și apoi cheia privată a Consumatorului:
mkdir ldap02-ssl cd ldap02-ssl
sudo certtool --generate-privkey \
--biți 1024 \
--outfile ldap02_slapd_key.pem
Creați un fișier de informații, ldap02.info, pentru serverul Consumer, ajustându-i valorile în consecință:
organization = Exemplu de companie cn = ldap02.example.com
tls_www_server encryption_key signing_key expiration_days = 3650
Creați certificatul de consumator:
sudo certtool --generate-certificate \
--load-privkey ldap02_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/cacert.pem \
--load-ca-privkey /etc/ssl/private/cakey.pem \
--template ldap02.info \
--outfile ldap02_slapd_cert.pem
Obțineți o copie a certificatului CA:
cp /etc/ssl/certs/cacert.pem .
Au fost efectuate. Acum transferați ldap02-ssl director către Consumator. Aici folosim scp (ajustați în consecință):
cd ..
scp -r ldap02-ssl utilizator@consumator:
2. Despre consumator,
Configurați autentificarea TLS:
sudo apt install ssl-cert
sudo gpasswd -a openldap ssl-cert
sudo cp ldap02_slapd_cert.pem cacert.pem /etc/ssl/certs sudo cp ldap02_slapd_key.pem /etc/ssl/private
sudo chgrp openldap /etc/ssl/private/ldap02_slapd_key.pem sudo chmod 0640 /etc/ssl/private/ldap02_slapd_key.pem sudo systemctl restart slapd.service
Creați fișierul /etc/ssl/certinfo.ldif cu următorul conținut (ajustați în consecință):
dn: cn=config
adăugați: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
adăugați: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap02_slapd_cert.pem
-
adăugați: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap02_slapd_key.pem
Configurați baza de date slapd-config:
sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif
Configurare / etc / implicit / slapd ca la Furnizor (SLAPD_SERVICES).
3. Despre consumator,
Configurați TLS pentru replicarea la nivelul consumatorului. Modificați existentul olcSyncrepl atribut prin lipirea unor opțiuni TLS. Procedând astfel, vom vedea, pentru prima dată, cum să schimbați valoarea (valorile) unui atribut.
Creați fișierul consumer_sync_tls.ldif cu următorul conținut:
dn: olcDatabase={1}mdb,cn=config înlocuiți: olcSyncRepl
olcSyncRepl: rid=0 provider=ldap://ldap01.example.com bindmethod=simple binddn="cn=admin,dc=example,dc=com" credentials=secret searchbase="dc=example,dc=com" logbase= "cn=accesslog" logfilter="(&(objectClass=auditWriteObject)(reqResult=0))" schemachecking=on type=refreshAndPersist retry="60 +" syncdata=accesslog starttls=critical tls_reqcert=demand
Opțiunile suplimentare specifică, respectiv, că consumatorul trebuie să folosească StartTLS și că certificatul CA este necesar pentru a verifica identitatea Furnizorului. Rețineți, de asemenea, sintaxa LDIF pentru modificarea valorilor unui atribut ("înlocuire").
Implementați aceste modificări:
sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f consumer_sync_tls.ldif
Și reporniți slapd:
sudo systemctl restart slapd.service
4. Pe Furnizor,
Verificați dacă a fost stabilită o sesiune TLS. În / Var / log / syslog, dacă aveți configurată înregistrarea la nivel de „cons”, ar trebui să vedeți mesaje similare cu:
slapd[3620]: conn=1047 fd=20 ACCEPT de la IP=10.153.107.229:57922 (IP=0.0.0.0:389) slapd[3620]: conn=1047 op=0 EXT oid=1.3.6.1.4.1.1466.20037.
slapd[3620]: conn=1047 op=0 STARTTLS
slapd[3620]: conn=1047 op=0 REZULTAT oid= err=0 text=
slapd[3620]: conn=1047 fd=20 TLS stabilit tls_ssf=128 ssf=128 slapd[3620]: conn=1047 op=1 BIND dn="cn=admin,dc=example,dc=com" method=128
slapd[3620]: conn=1047 op=1 BIND dn="cn=admin,dc=example,dc=com" mech=SIMPLE ssf=0 slapd[3620]: conn=1047 op=1 RESULT tag=97 err= 0 text