LDAP – 8. SSL und TLS in OpenLDAP

​Da wir unser LDAP nicht nur unverschlüsselt, sondern auch verschlüsselt nutzen wollen, hier eine Anleitung wie wir SSL/TLS mit OpenLDAP zum laufen bekommen.

SSL/TLS Zertifikat erstellen
Dies muss in einem Debian (Hostsystem oder Buildroot) erfolgen:

# apt-get install gnutls-bin
# certtool --generate-privkey --outfile /etc/ssl/private/ldap-ca-key.pem
# certtool --generate-self-signed --load-privkey /etc/ssl/private/ldap-ca-key.pem --outfile /etc/ssl/certs/ldap-ca-cert.pem

Die Fragen sollten nach Möglichkeit gewissenhaft beantwortet werden.
Die Schlüssel kopieren wir anschließend in die Openldap Chroot:

cp -a /etc/ssl /chroots/openldap/etc/ssl


Da in Unserem LDAP noch keine OnlineConfig aktiv ist, fügen wir folgendes zu der slapd.conf hinzu:
/srv/openldap/etc/openldap/slapd.conf

TLSCACertificateFile /etc/ssl/certs/ldap-ca-cert.pem
TLSCertificateFile /etc/ssl/certs/ldap-ca-cert.pem
TLSCertificateKeyFile /etc/ssl/private/ldap-ca-key.pem
TLSVerifyClient never


OpenLDAP mit SSL/TLS Updaten
Altes ldap umbennenen, z.B. „mv /srv/openldap /srv/openldap_ohnetls“.
Neues Openldap paket: Z.B. openldap_tls.tar.bz2
Packet auspacken, der Inhalt entspricht dem neuen /srv/openldap.
Aufräumen und slapd umbennen:

rm -rf /srv/openldap/etc /srv/openldap/include
mv /srv/openldap/libexec/slapd /srv/openldap/libexec/openldap

Einstellungen und Datenbanken übernehmen:

cp -a /srv/openldap_ohnetls/etc /srv/openldap/etc
cp -a /srv/openldap_ohnetls/data /srv/openldap/data

libssl und libcrypto in /lib kopieren, sonst findet der LDAP diese nicht:

cp /srv/openssl/lib/libssl.so.1.0.0 /lib/libssl.so.1.0.0
cp /srv/openssl/lib/libcrypto.so.1.0.0 /lib/libcrypto.so.1.0.0

Ldap Starten mit:

/srv/openldap/libexec/openldap -h "ldap:/// ldaps:///"

Nun funktioniert LDAP wahlweise auch mit TLS und SSL.
Hinweis: OpenLDAP kann mit dem Parameter „-d“ auch temporär mit Debug-Ausgaben gestartet werden:

/srv/openldap/libexec/openldap -h "ldap:/// ldaps:///" -d 127

Hier die Übersicht der einzelnen Teile:

1. OpenLDAP Kompilieren
2. OpenLDAP Einrichtung
3. OpenLDAP Suchfilter
4. PAM mit LDAP
5. Einrichtung Openssh mit Public Key
6. Beispiel-Template für LDAPAdmin
7. TestSystem & Beispiele
8. SSL und TLS in OpenLDAP

leave your comment


*

Unterstütze den Frickelblog!