Habilitar TLS Openldap

De Slacam_Wiki
Ir para: navegação, pesquisa

Como Habilitar o TLS no Openldap

Depois de instalado do Openldap sem a criptografia, proceda com as seguinte modificações:

1 - Edite o arquivo:

vim slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif

2 - Coloque as informações a seguir no final do arquivo:

olcTLSCertificateFile: /etc/pki/tls/certs/slapdcert.pem
olcTLSCertificateKeyFile: /etc/pki/tls/certs/slapdkey.pem
olcAccess: to attrs=userPassword
      by self write
      by anonymous auth
      by dn.base="cn=admin,dc=des-brazil,dc=org" write
      by * none
olcAccess: to *
      by self write
      by dn.base="cn=admin,dc=des-brazil,dc=org" write
      by * read

3 - Edita o /etc/sysconfig/ldap, descomenta SLAPD_LDAPS e troca de‘no’ para ‘yes’.

4 - Criar os certificados com o comando:

[root@as01 openldap]# openssl req -new -x509 -nodes -out /etc/pki/tls/certs/slapdcert.pem -keyout /etc/pki/tls/certs/slapdkey.pem -days 3650

Veja saida da Tela:

Generating a 2048 bit RSA private key
...........+++
.............................................................................................................+++
writing new private key to '/etc/pki/tls/certs/slapdkey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:BR
State or Province Name (full name) []:Rio de Janeiro
Locality Name (eg, city) [Default City]:Rio de Janeiro
Organization Name (eg, company) [Default Company Ltd]:LIneA
Organizational Unit Name (eg, section) []:POPRJ
Common Name (eg, your name or your server's hostname) []:(deixa em branco)
Email Address []:machado@slacam.com.br
[root@as01 openldap]# 

Obs - Repara que criei o certificado para 10 anos ;). NÃO ESQUEÇA QUE A CHAVE DEVE SER LEVADA PARA O SERVIDOR SLAVE SE FOR O CASO

5 - Vamos ajustar as permissões

chown -Rf ldap:ldap /etc/pki/tls/certs/$cert.pem
chmod -Rf 750 /etc/pki/tls/certs/$key.pem

6 - Ajuste a configuração do próprio servidor para realizar os testes com:

vim /etc/openldap/ldap.conf 

Tem que ficar assim:

URI ldap://as01.linea.gov.br
BASE dc=des-brazil,dc=org
SSL ON
TLS_CACERT /etc/pki/tls/certs/slapdcert.pem
TLS_REQCERT never 

7 - Vamos reiniciar o servidor para testar:

service slapd restart

8 - Dê o comando abaixo que deverá listar sua base de usuários

ldapsearch -x -ZZ

9 - Agora vamos configurar o cliente para autenticar via TLS

No arquivo /etc/pam_ldap.conf deve ficar assim alterado:

base dc=des-brazil,dc=org
uri ldap://as01.linea.gov.br
ssl start_tls
scope sub
TLS_CACERT /etc/pki/tls/certs/slapdcert.pem
TLS_REQCERT never
pam_password md5
pam_groupdn cn=srvlistas,ou=maquinas,dc=des-brazil,dc=org
pam_member_attribute memberUid
REFERRALS       off

Ativar o ldap pelo:

 authconfig-tui

Para criar o diretorio home do usario:

authconfig --enablemkhomedir --update

No arquivo /etc/openldap/ldap.conf se existir deve ficar assim:

URI ldap://as01.linea.gov.br
BASE dc=des-brazil,dc=org
SSL START_TLS
TLS_CACERT /etc/pki/tls/certs/slapdcert.pem
TLS_REQCERT never

8 - Não esquece reiniciar o serviço de autenticação cliente:

service nslcd restart

9 - Fim