Areas: Principal | Apache | DNS | FreeSWAN | giFT | LDAP | Mutt | Postfix | Sincronia | Vim | VNC

Acrescentando SSL ao servidor LDAP

Deives Michellis "thefallen"
Revisão: $Id: SSL.t2t,v 1.1 2005/01/14 18:46:18 thefallen Exp thefallen $



1. Gerando as Chaves

Vamos usar os utilitarios do OpenSSL para gerar as chaves auto-assinadas para o LDAP, rodando o script abaixo. Note que as chaves deverao ser geradas dentro do diretório /etc/openldap/certificates/.

Foi desabilitado a verificação do certificado (se há alguma entidade certificadora que garante que você é você mesmo). Estamos apenas interessados em usar um tunel criptografado.

Note que

  #!/bin/sh
  # /etc/openldap/certificates/gerador.sh

  # Certificado para a função "server"
  echo "É necessário prover uma senha para a chave privada."
  openssl genrsa -des3 -out server.key 4096
  # Esta linha agora REMOVE a passphrase da chave privada
  echo "Digite primeiro a senha da chave privada, depois um <ENTER> para remova-la"
  openssl rsa -in server.key -out server.key
  openssl req -new -key server.key -out server.csr
  openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.csr

  # Certificado para a função "client"
  echo "Gerando a chave para o client. Mesmo procedimento anterior"
  openssl genrsa -des3 -out client.key 1024
  openssl rsa -in client.key -out client.key
  openssl req -new -key client.key -out client.csr
  openssl x509 -req -days 365 -in client.csr -signkey client.key -out client.csr

2. Configurando o LDAP

São necessários 2 pequenas configurações no OpenLDAP para que ele aceite o certificado criado.

  # /etc/openldap/slapd.conf:
  TLSCertificateFile      /etc/openldap/certificates/server.csr
  TLSCertificateKeyFile   /etc/openldap/certificates/server.key
  TLSVerifyClient 0

  # /etc/openldap/ldap.conf:
  TLS_CERT        /etc/openldap/certificates/client.csr
  TLS_KEY         /etc/openldap/certificates/client.key
  TLS_REQCERT     never

3. Iniciando o Serviço

Adicione um comando parecido com o descrito abaixo em seus scripts de boot:

  root@servidor:~# /usr/sbin/slapd -s 0 -h "ldap:// ldaps://"

4. Testando ...

Vamos agora usar a flag -ZZ pra exigir criptografia do servidor para testarmos nosso tunel SSL.

  root@servidor:~# ldapsearch -x -LLL -ZZ -b "SuaBaseDN" "mail=*"

Sobre o autor

Deives Michellis "thefallen" é Tecnologo em Processamento de Dados pela FATEC e Gerente de Desenvolvimento de Soluções Linux do Grup o GEO. Também nerd de carteirinha e ativista linux nas horas vagas.

Ultima Revisão: Fri Jan 14 16:47:13 2005

Criado com o txt2tags



A menos que especificado de outra maneira, todos os documentos e textos sao protegidos sob licenca BSD - Veja a licenca para mais detalhes
Leia tambem sobre o motivo de uso de licencas em documentacao.