TLS für OpenLDAP

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

LDAPS aktivieren

In der Datei /etc/default/slapd folgendes erweiteren 

SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"

Somit wird ldaps auf Port 636 freigeschaltet

Zertifikate besorgen und an die richtigen Stellen bringen

Stammzertifikat
/etc/ldap/ca.crt
Zertifikat
/etc/ldap/star.it213.int.crt
Privater Schlüssel
/etc/ldap/star.it213.int.key

TLS LDIF vorbereiten

  • vi /root/ldap/tls.ldif
idn: cn=config
changetype: modify
add: olcTLSCipherSuite
olcTLSCipherSuite: NORMAL
-
add: olcTLSCRLCheck
olcTLSCRLCheck: none
-
add: olcTLSVerifyClient
olcTLSVerifyClient: never
-
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ldap/ca.crt
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/star.it213.int.crt
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ldap/star.it213.int.key
-
add: olcTLSProtocolMin
olcTLSProtocolMin: 1.2

Konfiguteren

  • ldapmodify -Y EXTERNAL -H ldapi:/// -f tls.ldif

Dienst neustarten

  • systemctl restart slapd

Kontolle

Läuft der Dienst
  • systemctl status slapd
Logs anschauen
  • journalctl -fu slapd
Läuft der Port?
  • ss -lntp | grep 636
Funktioniert TLS ordentlich
  • openssl s_client -port 636 -CAfile /etc/ldap/ca.crt -host ldap.it213.int
Abgerufen von „http://wiki.ixheim.de/index.php?title=TLS_für_OpenLDAP&oldid=65665