OpenLDAP server i Debian Jessie: Difference between revisions
| Line 20: | Line 20: | ||
== LDAP inställningar för SSL == | == LDAP inställningar för SSL == | ||
Skapa följande konfigurationsfil / | Skapa följande konfigurationsfil /root/olcSSL.ldif: | ||
{{bc|1= | {{bc|1= | ||
dn: cn=config | dn: cn=config | ||
add: olcTLSCACertificateFile | add: olcTLSCACertificateFile | ||
olcTLSCACertificateFile: /etc/ssl/certs/ | olcTLSCACertificateFile: /etc/ssl/certs/example.com-ca.pem | ||
- | - | ||
add: olcTLSCertificateFile | add: olcTLSCertificateFile | ||
olcTLSCertificateFile: /etc/ssl/certs/ | olcTLSCertificateFile: /etc/ssl/certs/ldap01.example.com.crt | ||
- | - | ||
add: olcTLSCertificateKeyFile | add: olcTLSCertificateKeyFile | ||
olcTLSCertificateKeyFile: /etc/ssl/private/ | olcTLSCertificateKeyFile: /etc/ssl/private/ldap01.example.com.key | ||
}} | }} | ||
Uppdatera LDAP konfigurationen: | Uppdatera LDAP konfigurationen: | ||
{{RootCmd|<nowiki>ldapmodify -Y EXTERNAL -H ldapi:/// -f / | {{RootCmd|<nowiki>ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/olcSSL.ldif</nowiki>}} | ||
Lägg till openldap till gruppen ssl-cert. Annars kan inte slapd | Lägg till openldap till gruppen ssl-cert. Annars kan inte slapd accessa den privata nyckeln och start av slapd kommer misslyckas: | ||
{{RootCmd|gpasswd -a openldap ssl-cert}} | {{RootCmd|gpasswd -a openldap ssl-cert}} | ||
Revision as of 18:51, 26 July 2015
Denna artikel beskriver hur man installerar en OpenLDAP server i Debian Jessie. Vi kommer använda ldap01.example.com som FQDN för vår LDAP server i exemplen.
Installera LDAP server
Installera LDAP servern och lite nödvändiga verktyg:
Ange lösenordet för cn=admin,dc=example,dc=com.
LDAP Konfigurering
Numera sparas konfigureringen i LDAP. För att se alla inställningar, kör följande sökning:
Ändringar görs via LDIF filer och ldapadd eller ldapmodify kommandon:
Säkerhet
För att säkra upp trafiken mot LDAP servern, behöver vi kryptera trafiken. Vi kommer använda oss av TLS. Se följande artikel hur man skapar certifikat för SSL/TLS: Generera SSL/TLS certifikat i Debian Jessie. I detta exempel behöver vi skapa certifikat för ldap01.example.com.
Installera CA certifikatet och certifikatet för ldap01.example.com enligt guiden ovan.
LDAP inställningar för SSL
Skapa följande konfigurationsfil /root/olcSSL.ldif:
dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/example.com-ca.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap01.example.com.crt - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap01.example.com.key
Uppdatera LDAP konfigurationen:
Lägg till openldap till gruppen ssl-cert. Annars kan inte slapd accessa den privata nyckeln och start av slapd kommer misslyckas:
Starta om LDAP servern:
Test av LDAP och TLS
Editera filen /etc/ldap/ldap.conf:
BASE dc=example,dc=com URI ldap://ldap01.example.com TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Testa sen följande sökningar:
LDAP uppslagningar över TLS från andra Debian Jessie maskiner
Kopiera filen /etc/ssl/certs/cacert.pem till andra maskiner och addera certifikatet till filen /etc/ssl/certs/ca-certificates.crt:
Och gör samma ändringar till filen /etc/ldap/ldap.conf som gjordes på LDAP servern.