OpenLDAP server i Debian Jessie

From Peters wiki
Revision as of 14:01, 12 August 2023 by Peter (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Denna artikel beskriver hur man installerar en OpenLDAP server i Debian Jessie. Vi kommer använda ldap.example.com som FQDN för vår LDAP server i exemplen.

Installera LDAP server

Installera LDAP servern och lite nödvändiga verktyg:

root # apt-get install slapd ldap-utils

Ange lösenordet för cn=admin,dc=example,dc=com.

LDAP Konfigurering

Numera sparas konfigureringen i LDAP. För att se alla inställningar, kör följande sökning:

root # ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config"

Ändringar görs via LDIF filer och ldapadd eller ldapmodify kommandon:

root # ldapadd -Y EXTERNAL -H ldapi:/// -f <file.ldif>
root # ldapmodify -Y EXTERNAL -H ldapi:/// -f <file.ldif>

Säkerhet

För att säkra upp trafiken mot LDAP servern, behöver vi kryptera trafiken. Vi kommer använda oss av TLS. Se följande artikel hur man skapar certifikat för SSL/TLS: Generera SSL/TLS certifikat i Debian Jessie. I detta exempel behöver vi skapa certifikat för ldap.example.com.

Installera CA certifikatet och certifikatet för ldap.example.com enligt guiden ovan.

LDAP inställningar för SSL

Skapa följande konfigurationsfil /root/olcSSL.ldif: 

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/ca-certificates.crt
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap.example.com.crt
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap.example.com.key

Uppdatera LDAP konfigurationen:

root # ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/olcSSL.ldif

Lägg till openldap till gruppen ssl-cert. Annars kan inte slapd accessa den privata nyckeln och start av slapd kommer misslyckas:

root # gpasswd -a openldap ssl-cert

Editera filen /etc/default/slapd och kontrollera att du har följande rad: 

SLAPD_SERVICES="ldap:/// ldaps:/// ldapi:///"

Starta om LDAP servern:

root # service slapd restart

Test av LDAP och TLS

Editera filen /etc/ldap/ldap.conf: 

BASE	dc=example,dc=com
URI	ldap://ldap.example.com

ssl     start_tls

TLS_CACERT	/etc/ssl/certs/ca-certificates.crt

Testa sen följande sökningar:

root # ldapsearch -x -LLL "objectClass=*"
root # ldapsearch -x -LLL -h localhost "objectClass=*"
root # ldapsearch -Z -x -LLL -h localhost "objectClass=*"
root # ldapsearch -ZZ -x -LLL -h localhost "objectClass=*"

LDAP uppslagningar över TLS från andra Debian Jessie maskiner

Installera ditt CA certifikat enligt Generera SSL certifikat i Debian Jessie.

Gör samma ändringar i filen /etc/ldap/ldap.conf som gjordes på LDAP servern och kör sedan testerna:

root # ldapsearch -x -LLL "objectClass=*"
root # ldapsearch -Z -x -LLL "objectClass=*"
root # ldapsearch -ZZ -x -LLL "objectClass=*"
Retrieved from "http://www.kerwien.se/index.php?title=OpenLDAP_server_i_Debian_Jessie&oldid=3363"