Installera OpenLDAP i Debian Wheezy: Difference between revisions

From Peters wiki
Jump to navigation Jump to search
← Older editNewer edit →
Line 51: Line 51:
Generera certifikatet:
Generera certifikatet:
{{RootCmd|certtool --generate-certificate --load-privkey /etc/ssl/private/ldap01_key.pem --load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/ldap01.info --outfile /etc/ssl/certs/ldap01_cert.pem}}
{{RootCmd|certtool --generate-certificate --load-privkey /etc/ssl/private/ldap01_key.pem --load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/ldap01.info --outfile /etc/ssl/certs/ldap01_cert.pem}}
Skapa följande konfigurationsfil:
{{bc|1=
dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_key.pem
}}


# configure LDAP
# configure LDAP

Revision as of 15:25, 25 May 2014

Denna artikel beskriver hur man installerar en OpenLDAP server i Debian Wheezy. Vi kommer använda ldap01.example.com som FQDN för vår LDAP server i exemplen.

Installera LDAP server

Installera LDAP servern och lite nödvändiga verktyg:

root # apt-get install slapd ldap-utils

LDAP Konfigurering

Numera sparas konfigureringen i LDAP. För att se alla inställningar, kör följande sökning:

user $ ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config"

Ändringar görs via LDIF filer och ldapadd eller ldapmodify kommandon:

root # ldapadd -Y EXTERNAL -H ldapi:/// -f <file.ldif>
root # ldapmodify -Y EXTERNAL -H ldapi:/// -f <file.ldif>

Säkerhet

För att säkra upp trafiken mot LDAP servern, behöver vi kryptera trafiken. Vi kommer använda oss av TLS och skapa certifikat mha gnutls. Installera gnutls-bin och ssl-cert:

root # apt-get install gnutls-bin ssl-cert

Vi kommer agera vårt eget CA, Certificate Authority, och signera våra nycklar som det CA.

Skapa CA nycklar

Generera vår privata CA nyckel:

root # certtool --generate-privkey --outfile /etc/ssl/private/cakey.pem

Skapa filen /etc/ssl/ca.info med information om vårt CA: 

cn = Example Company
ca
cert_signing_key

Byt ut Example Company mot din egna beskrivning. Generera vårt självsignerade CA certifikat:

root # certtool --generate-self-signed --load-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/ca.info --outfile /etc/ssl/certs/cacert.pem

Generera vår privata nyckel för server:

root # certtool --generate-privkey --bits 1024 --outfile /etc/ssl/private/ldap01_key.pem

Gör filen läsbar för gruppen ssl-cert:

root # chgrp ssl-cert /etc/ssl/private/ldap01_key.pem
root # chmod 640 /etc/ssl/private/ldap01_key.pem

Skapa filen /etc/ssl/ldap01.info: 

organization = Example Company 
cn = ldap01.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 3650

Vi har här valt en giltighetstid på 10 år.

Generera certifikatet:

root # certtool --generate-certificate --load-privkey /etc/ssl/private/ldap01_key.pem --load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/ldap01.info --outfile /etc/ssl/certs/ldap01_cert.pem

Skapa följande konfigurationsfil: 

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_key.pem
  1. configure LDAP

sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif

Retrieved from "http://www.kerwien.se/index.php?title=Installera_OpenLDAP_i_Debian_Wheezy&oldid=2487"