Da wir unser LDAP nicht nur unverschlüsselt, sondern auch verschlüsselt nutzen wollen, hier eine Anleitung wie wir SSL/TLS mit OpenLDAP zum laufen bekommen.
SSL/TLS Zertifikat erstellen
Dies muss in einem Debian (Hostsystem oder Buildroot) erfolgen:
# apt-get install gnutls-bin # certtool --generate-privkey --outfile /etc/ssl/private/ldap-ca-key.pem # certtool --generate-self-signed --load-privkey /etc/ssl/private/ldap-ca-key.pem --outfile /etc/ssl/certs/ldap-ca-cert.pem |
Die Fragen sollten nach Möglichkeit gewissenhaft beantwortet werden.
Die Schlüssel kopieren wir anschließend in die Openldap Chroot:
cp -a /etc/ssl /chroots/openldap/etc/ssl |
Da in Unserem LDAP noch keine OnlineConfig aktiv ist, fügen wir folgendes zu der slapd.conf hinzu:
/srv/openldap/etc/openldap/slapd.conf
TLSCACertificateFile /etc/ssl/certs/ldap-ca-cert.pem TLSCertificateFile /etc/ssl/certs/ldap-ca-cert.pem TLSCertificateKeyFile /etc/ssl/private/ldap-ca-key.pem TLSVerifyClient never |
OpenLDAP mit SSL/TLS Updaten
Altes ldap umbennenen, z.B. „mv /srv/openldap /srv/openldap_ohnetls“.
Neues Openldap paket: Z.B. openldap_tls.tar.bz2
Packet auspacken, der Inhalt entspricht dem neuen /srv/openldap.
Aufräumen und slapd umbennen:
rm -rf /srv/openldap/etc /srv/openldap/include mv /srv/openldap/libexec/slapd /srv/openldap/libexec/openldap |
Einstellungen und Datenbanken übernehmen:
cp -a /srv/openldap_ohnetls/etc /srv/openldap/etc cp -a /srv/openldap_ohnetls/data /srv/openldap/data |
libssl und libcrypto in /lib kopieren, sonst findet der LDAP diese nicht:
cp /srv/openssl/lib/libssl.so.1.0.0 /lib/libssl.so.1.0.0 cp /srv/openssl/lib/libcrypto.so.1.0.0 /lib/libcrypto.so.1.0.0 |
Ldap Starten mit:
/srv/openldap/libexec/openldap -h "ldap:/// ldaps:///" |
Nun funktioniert LDAP wahlweise auch mit TLS und SSL.
Hinweis: OpenLDAP kann mit dem Parameter „-d“ auch temporär mit Debug-Ausgaben gestartet werden:
/srv/openldap/libexec/openldap -h "ldap:/// ldaps:///" -d 127 |
Hier die Übersicht der einzelnen Teile:
1. OpenLDAP Kompilieren
2. OpenLDAP Einrichtung
3. OpenLDAP Suchfilter
4. PAM mit LDAP
5. Einrichtung Openssh mit Public Key
6. Beispiel-Template für LDAPAdmin
7. TestSystem & Beispiele
8. SSL und TLS in OpenLDAP
Login