Benutzer-Werkzeuge

Webseiten-Werkzeuge


anleitungen:openldap:ssl_tls

8. SSL und TLS in OpenLDAP

SSL/TLS Zertifikat erstellen

Dies muss in einem Debian (Hostsystem oder Buildroot) erfolgen:

# apt-get install gnutls-bin
# certtool --generate-privkey --outfile /etc/ssl/private/ldap-ca-key.pem
# certtool --generate-self-signed --load-privkey /etc/ssl/private/ldap-ca-key.pem --outfile /etc/ssl/certs/ldap-ca-cert.pem

Die Fragen sollten nach Möglichkeit gewissenhaft beantwortet werden :)
Die Schlüssel kopieren wir anschließend in die Openldap Chroot:

cp -a /etc/ssl /chroots/openldap/etc/ssl

Da in Unserem LDAP noch keine OnlineConfig aktiv ist, fügen wir folgendes zu der slapd.conf hinzu:

/srv/openldap/etc/openldap/slapd.conf
TLSCACertificateFile /etc/ssl/certs/ldap-ca-cert.pem
TLSCertificateFile /etc/ssl/certs/ldap-ca-cert.pem
TLSCertificateKeyFile /etc/ssl/private/ldap-ca-key.pem
TLSVerifyClient never

OpanLDAP mit SSL/TLS Updaten

Altes ldap umbennenen, z.B. „mv /srv/openldap /srv/openldap_ohnetls“.
Neues Openldap paket: http://93.190.92.27/openldap_tls.tar.bz2
Packet auspacken, der Inhalt entspricht dem neuen /srv/openldap.
Aufräumen und slapd umbennen:

rm -rf /srv/openldap/etc /srv/openldap/include
mv /srv/openldap/libexec/slapd /srv/openldap/libexec/openldap

Einstellungen und Datenbanken übernehmen:

cp -a /srv/openldap_ohnetls/etc /srv/openldap/etc
cp -a /srv/openldap_ohnetls/data /srv/openldap/data

libssl und libcrypto in /lib kopieren, sonst findet der LDAP diese nicht:

cp /srv/openssl/lib/libssl.so.1.0.0 /lib/libssl.so.1.0.0
cp /srv/openssl/lib/libcrypto.so.1.0.0 /lib/libcrypto.so.1.0.0

Ldap Starten mit:

/srv/openldap/libexec/openldap -h "ldap:/// ldaps:///"

Nun funktioniert LDAP wahlweise auch mit TLS und SSL.

Hinweis: OpenLDAP kann mit dem Parameter „-d“ auch temporär mit Debug-Ausgaben gestartet werden:

/srv/openldap/libexec/openldap -h "ldap:/// ldaps:///" -d 127
anleitungen/openldap/ssl_tls.txt · Zuletzt geändert: 2018/02/20 09:37 (Externe Bearbeitung)