OpenLDAP server i Debian Jessie: Difference between revisions
m Peter moved page Installera LDAP i Debian Jessie to Installera OpenLDAP i Debian Jessie without leaving a redirect |
|||
| Line 16: | Line 16: | ||
{{Note|Numera använder jag easy-rsa. Uppdatera detta kapitel}} | {{Note|Numera använder jag easy-rsa. Uppdatera detta kapitel}} | ||
För att säkra upp trafiken mot LDAP servern, behöver vi kryptera trafiken. Vi kommer använda oss av TLS och skapa certifikat mha | För att säkra upp trafiken mot LDAP servern, behöver vi kryptera trafiken. Vi kommer använda oss av TLS och skapa certifikat mha easy-rsa. Installera easy-rsa: | ||
{{RootCmd|apt-get install | {{RootCmd|apt-get install easy-rsa}} | ||
Vi kommer agera vårt eget CA, ''Certificate Authority'', och signera våra nycklar som det CA. | Vi kommer agera vårt eget CA, ''Certificate Authority'', och signera våra nycklar som det CA. | ||
=== Generera CA certifikat === | === Generera CA certifikat === | ||
Kopiera easy-rsa skripten till en plats där nycklarna tillfälligt ska hamna. Vi väljer att lägga mappen under /root: | |||
{{cp -r /usr/share/easy-rsa /root}} | |||
Gå till easy-rsa mappen: | |||
{{RootCmd|cd /root/easy}} | |||
Kopiera filen vars och anpassa den för våra behov: | |||
{{RootCmd|cp vars vars-example.com}} | |||
De variabler vi ändrar på är (anpassa enligt dina uppgifter): | |||
{{bc| | |||
export KEY_COUNTRY="SE" | |||
export KEY_PROVINCE="<Landskap/Kommun>" | |||
export KEY_CITY="<Stad>" | |||
export KEY_ORG="example.com" | |||
export KEY_EMAIL="root@example.com" | |||
#export KEY_OU="MyOrganizationalUnit" | |||
export KEY_NAME="root" | |||
}} | |||
{{Warning|Följande kommando raderar alla nycklar under keys mappen. Se till att inget viktigt ligger där.}} | |||
Source:a filen och radera alla tidigare genererade nycklar: | |||
{{RootCmd|. ./vars-example.com | |||
./clean-all | |||
}} | |||
Generera vår privata CA nyckel: | Generera vår privata CA nyckel: | ||
Revision as of 16:54, 26 July 2015
Denna artikel beskriver hur man installerar en OpenLDAP server i Debian Jessie. Vi kommer använda ldap01.example.com som FQDN för vår LDAP server i exemplen.
Installera LDAP server
Installera LDAP servern och lite nödvändiga verktyg:
Ange lösenordet för cn=admin,dc=example,dc=com.
LDAP Konfigurering
Numera sparas konfigureringen i LDAP. För att se alla inställningar, kör följande sökning:
Ändringar görs via LDIF filer och ldapadd eller ldapmodify kommandon:
Säkerhet
För att säkra upp trafiken mot LDAP servern, behöver vi kryptera trafiken. Vi kommer använda oss av TLS och skapa certifikat mha easy-rsa. Installera easy-rsa:
Vi kommer agera vårt eget CA, Certificate Authority, och signera våra nycklar som det CA.
Generera CA certifikat
Kopiera easy-rsa skripten till en plats där nycklarna tillfälligt ska hamna. Vi väljer att lägga mappen under /root: Template:Cp -r /usr/share/easy-rsa /root
Gå till easy-rsa mappen:
Kopiera filen vars och anpassa den för våra behov:
De variabler vi ändrar på är (anpassa enligt dina uppgifter):
Template:META Error
Source:a filen och radera alla tidigare genererade nycklar:
Generera vår privata CA nyckel:
Skapa filen /etc/ssl/ca.info med information om vårt CA:
cn = Example Company ca cert_signing_key
Byt ut Example Company mot din egna beskrivning.
Generera ett självsignerat CA certifikat:
Addera CA certifikatet till /etc/ssl/certs/ca-certificates.crt:
Generera server certifikat
Generera vår privata nyckel för server:
Gör filen läsbar för gruppen ssl-cert:
Skapa filen /etc/ssl/ldap01.info:
organization = Example Company cn = ldap01.example.com tls_www_server encryption_key signing_key expiration_days = 3650
Vi har här valt en giltighetstid på 10 år.
Generera certifikatet:
Skapa följande konfigurationsfil /etc/ssl/certinfo.ldif:
dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap01_cert.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_key.pem
Uppdatera LDAP konfigurationen:
Lägg till openldap till gruppen ssl-cert. Annars kan inte slapd läsa certifikaten och start av slapd kommer misslyckas:
Starta om LDAP servern:
Test av LDAP och TLS
Editera filen /etc/ldap/ldap.conf:
BASE dc=example,dc=com URI ldap://ldap01.example.com TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Testa sen följande sökningar:
LDAP uppslagningar över TLS från andra Debian Jessie maskiner
Kopiera filen /etc/ssl/certs/cacert.pem till andra maskiner och addera certifikatet till filen /etc/ssl/certs/ca-certificates.crt:
Och gör samma ändringar till filen /etc/ldap/ldap.conf som gjordes på LDAP servern.