OpenLDAP server i Debian Jessie: Difference between revisions

From Peters wiki
Jump to navigation Jump to search
← Older editNewer edit →
mNo edit summary
Line 15: Line 15:


För att säkra upp trafiken mot LDAP servern, behöver vi kryptera trafiken. Vi kommer använda oss av TLS. Se följande artikel hur man skapar certifikat för SSL/TLS: [[Generera SSL/TLS certifikat i Debian Jessie]]. I detta exempel behöver vi skapa certifikat för ldap01.example.com.
För att säkra upp trafiken mot LDAP servern, behöver vi kryptera trafiken. Vi kommer använda oss av TLS. Se följande artikel hur man skapar certifikat för SSL/TLS: [[Generera SSL/TLS certifikat i Debian Jessie]]. I detta exempel behöver vi skapa certifikat för ldap01.example.com.
Installera CA certifikatet och certifikatet för ldap01.example.com enligt guiden ovan.


== LDAP inställningar för SSL ==
== LDAP inställningar för SSL ==

Revision as of 18:41, 26 July 2015

Denna artikel beskriver hur man installerar en OpenLDAP server i Debian Jessie. Vi kommer använda ldap01.example.com som FQDN för vår LDAP server i exemplen.

Installera LDAP server

Installera LDAP servern och lite nödvändiga verktyg:

root # apt-get install slapd ldap-utils

Ange lösenordet för cn=admin,dc=example,dc=com.

LDAP Konfigurering

Numera sparas konfigureringen i LDAP. För att se alla inställningar, kör följande sökning:

root # ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config"

Ändringar görs via LDIF filer och ldapadd eller ldapmodify kommandon:

root # ldapadd -Y EXTERNAL -H ldapi:/// -f <file.ldif>
root # ldapmodify -Y EXTERNAL -H ldapi:/// -f <file.ldif>

Säkerhet

För att säkra upp trafiken mot LDAP servern, behöver vi kryptera trafiken. Vi kommer använda oss av TLS. Se följande artikel hur man skapar certifikat för SSL/TLS: Generera SSL/TLS certifikat i Debian Jessie. I detta exempel behöver vi skapa certifikat för ldap01.example.com.

Installera CA certifikatet och certifikatet för ldap01.example.com enligt guiden ovan.

LDAP inställningar för SSL

Skapa följande konfigurationsfil /etc/ssl/certinfo.ldif: 

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_key.pem

Uppdatera LDAP konfigurationen:

root # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif

Lägg till openldap till gruppen ssl-cert. Annars kan inte slapd läsa certifikaten och start av slapd kommer misslyckas:

root # gpasswd -a openldap ssl-cert

Starta om LDAP servern:

root # service slapd restart

Test av LDAP och TLS

Editera filen /etc/ldap/ldap.conf: 

BASE	dc=example,dc=com
URI	ldap://ldap01.example.com

TLS_CACERT	/etc/ssl/certs/ca-certificates.crt

Testa sen följande sökningar:

root # ldapsearch -x -LLL "objectClass=*"
root # ldapsearch -x -LLL -h localhost "objectClass=*"
root # ldapsearch -Z -x -LLL -h localhost "objectClass=*"
root # ldapsearch -ZZ -x -LLL -h localhost "objectClass=*"

LDAP uppslagningar över TLS från andra Debian Jessie maskiner

Notering: Detta är inte hur man ska göra! Uppdatera!


Kopiera filen /etc/ssl/certs/cacert.pem till andra maskiner och addera certifikatet till filen /etc/ssl/certs/ca-certificates.crt:

root # cat cacert.pem >> /etc/ssl/certs/ca-certificates.crt

Och gör samma ändringar till filen /etc/ldap/ldap.conf som gjordes på LDAP servern.

Retrieved from "http://www.kerwien.se/index.php?title=OpenLDAP_server_i_Debian_Jessie&oldid=2952"