Installera OpenLDAP i Debian Wheezy: Difference between revisions
mNo edit summary |
mNo edit summary |
||
| Line 91: | Line 91: | ||
}} | }} | ||
Testa sen följande sökningar | Testa sen följande sökningar: | ||
{{RootCmd|<nowiki>ldapsearch -x -LLL "objectClass=*"</nowiki> | {{RootCmd|<nowiki>ldapsearch -x -LLL "objectClass=*"</nowiki> | ||
|<nowiki>ldapsearch -x -LLL -h localhost "objectClass=*"</nowiki> | |<nowiki>ldapsearch -x -LLL -h localhost "objectClass=*"</nowiki> | ||
|<nowiki>ldapsearch -Z -x -LLL -h localhost "objectClass=*"</nowiki> | |||
|<nowiki>ldapsearch -ZZ -x -LLL -h localhost "objectClass=*"</nowiki> | |<nowiki>ldapsearch -ZZ -x -LLL -h localhost "objectClass=*"</nowiki> | ||
}} | }} | ||
[[Category:Guide]] | [[Category:Guide]] | ||
Revision as of 22:38, 30 May 2014
Denna artikel beskriver hur man installerar en OpenLDAP server i Debian Wheezy. Vi kommer använda ldap01.example.com som FQDN för vår LDAP server i exemplen.
Installera LDAP server
Installera LDAP servern och lite nödvändiga verktyg:
Ange lösenordet för cn=admin,dc=example,dc=com.
LDAP Konfigurering
Numera sparas konfigureringen i LDAP. För att se alla inställningar, kör följande sökning:
Ändringar görs via LDIF filer och ldapadd eller ldapmodify kommandon:
Säkerhet
För att säkra upp trafiken mot LDAP servern, behöver vi kryptera trafiken. Vi kommer använda oss av TLS och skapa certifikat mha gnutls. Installera gnutls-bin och ssl-cert:
Vi kommer agera vårt eget CA, Certificate Authority, och signera våra nycklar som det CA.
Generera CA certifikat
Generera vår privata CA nyckel:
Skapa filen /etc/ssl/ca.info med information om vårt CA:
cn = Example Company ca cert_signing_key
Byt ut Example Company mot din egna beskrivning.
Generera ett självsignerat CA certifikat:
Addera CA certifikatet till /etc/ssl/certs/ca-certificates.crt:
Generera server certifikat
Generera vår privata nyckel för server:
Gör filen läsbar för gruppen ssl-cert:
Skapa filen /etc/ssl/ldap01.info:
organization = Example Company cn = ldap01.example.com tls_www_server encryption_key signing_key expiration_days = 3650
Vi har här valt en giltighetstid på 10 år.
Generera certifikatet:
Skapa följande konfigurationsfil /etc/ssl/certinfo.ssl:
dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap01_cert.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_key.pem
Uppdatera LDAP konfigurationen:
Lägg till openldap till gruppen ssl-cert. Annars kan inte slapd läsa certifikaten och start av slapd kommer misslyckas:
Starta om LDAP servern:
Test av LDAP och TLS
Editera filen /etc/ldap/ldap.conf:
BASE dc=example,dc=com URI ldap://ldap01.example.com TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Testa sen följande sökningar: