Mudanças entre as edições de "Habilitar TLS Openldap"
(Criou página com 'Como Habilitar o TLS no Openldap Depois de instalado do Openldap sem a criptografia, proceda com as seguinte modificações: 1 - Edite o arquivo: vim slapd.d/cn\=config/olcDat…') |
|||
Linha 7: | Linha 7: | ||
2 - Coloque as informações a seguir no final do arquivo: | 2 - Coloque as informações a seguir no final do arquivo: | ||
− | + | ||
olcTLSCertificateFile: /etc/pki/tls/certs/slapdcert.pem | olcTLSCertificateFile: /etc/pki/tls/certs/slapdcert.pem | ||
olcTLSCertificateKeyFile: /etc/pki/tls/certs/slapdkey.pem | olcTLSCertificateKeyFile: /etc/pki/tls/certs/slapdkey.pem | ||
Linha 44: | Linha 44: | ||
Organization Name (eg, company) [Default Company Ltd]:LIneA | Organization Name (eg, company) [Default Company Ltd]:LIneA | ||
Organizational Unit Name (eg, section) []:POPRJ | Organizational Unit Name (eg, section) []:POPRJ | ||
− | Common Name (eg, your name or your server's hostname) []: | + | Common Name (eg, your name or your server's hostname) []:(deixa em branco) |
Email Address []:machado@slacam.com.br | Email Address []:machado@slacam.com.br | ||
[root@as01 openldap]# | [root@as01 openldap]# | ||
− | Obs - Repara que criei o certificado para 10 anos ;) | + | Obs - Repara que criei o certificado para 10 anos ;). '''NÃO ESQUEÇA QUE A CHAVE DEVE SER LEVADA PARA O SERVIDOR SLAVE SE FOR O CASO''' |
+ | |||
+ | 5 - Vamos ajustar as permissões | ||
+ | chown -Rf ldap:ldap /etc/pki/tls/certs/$cert.pem | ||
+ | chmod -Rf 750 /etc/pki/tls/certs/$key.pem | ||
+ | |||
+ | 6 - Ajuste a configuração do próprio servidor para realizar os testes com: | ||
+ | vim /etc/openldap/ldap.conf | ||
+ | Tem que ficar assim: | ||
+ | URI ldap://as01.linea.gov.br | ||
+ | BASE dc=des-brazil,dc=org | ||
+ | SSL ON | ||
+ | TLS_CACERT /etc/pki/tls/certs/slapdcert.pem | ||
+ | TLS_REQCERT never | ||
+ | |||
+ | 7 - Vamos reiniciar o servidor para testar: | ||
+ | service slapd restart | ||
+ | |||
+ | 8 - Dê o comando abaixo que deverá listar sua base de usuários | ||
+ | |||
+ | ldapsearch -x -ZZ | ||
+ | |||
+ | 9 - Agora vamos configurar o cliente para autenticar via TLS | ||
+ | |||
+ | No arquivo /etc/pam_ldap.conf deve ficar assim alterado: | ||
+ | |||
+ | base dc=des-brazil,dc=org | ||
+ | uri ldap://as01.linea.gov.br | ||
+ | ssl start_tls | ||
+ | scope sub | ||
+ | TLS_CACERT /etc/pki/tls/certs/slapdcert.pem | ||
+ | TLS_REQCERT never | ||
+ | pam_password md5 | ||
+ | pam_groupdn cn=srvlistas,ou=maquinas,dc=des-brazil,dc=org | ||
+ | pam_member_attribute memberUid | ||
+ | REFERRALS off | ||
+ | |||
+ | Ativar o ldap pelo: | ||
+ | |||
+ | authconfig-tui | ||
+ | |||
+ | Para criar o diretorio home do usario: | ||
+ | |||
+ | authconfig --enablemkhomedir --update | ||
+ | |||
+ | No arquivo /etc/openldap/ldap.conf se existir deve ficar assim: | ||
+ | URI ldap://as01.linea.gov.br | ||
+ | BASE dc=des-brazil,dc=org | ||
+ | SSL START_TLS | ||
+ | TLS_CACERT /etc/pki/tls/certs/slapdcert.pem | ||
+ | TLS_REQCERT never | ||
+ | |||
+ | 8 - Não esquece reiniciar o serviço de autenticação cliente: | ||
+ | |||
+ | service nslcd restart | ||
+ | |||
+ | 9 - Fim |
Edição das 19h06min de 11 de agosto de 2012
Como Habilitar o TLS no Openldap
Depois de instalado do Openldap sem a criptografia, proceda com as seguinte modificações:
1 - Edite o arquivo:
vim slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif
2 - Coloque as informações a seguir no final do arquivo:
olcTLSCertificateFile: /etc/pki/tls/certs/slapdcert.pem olcTLSCertificateKeyFile: /etc/pki/tls/certs/slapdkey.pem olcAccess: to attrs=userPassword by self write by anonymous auth by dn.base="cn=admin,dc=des-brazil,dc=org" write by * none olcAccess: to * by self write by dn.base="cn=admin,dc=des-brazil,dc=org" write by * read
3 - Edita o /etc/sysconfig/ldap, descomenta SLAPD_LDAPS e troca de‘no’ para ‘yes’.
4 - Criar os certificados com o comando:
[root@as01 openldap]# openssl req -new -x509 -nodes -out /etc/pki/tls/certs/slapdcert.pem -keyout /etc/pki/tls/certs/slapdkey.pem -days 3650
Veja saida da Tela:
Generating a 2048 bit RSA private key ...........+++ .............................................................................................................+++ writing new private key to '/etc/pki/tls/certs/slapdkey.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:BR State or Province Name (full name) []:Rio de Janeiro Locality Name (eg, city) [Default City]:Rio de Janeiro Organization Name (eg, company) [Default Company Ltd]:LIneA Organizational Unit Name (eg, section) []:POPRJ Common Name (eg, your name or your server's hostname) []:(deixa em branco) Email Address []:machado@slacam.com.br [root@as01 openldap]#
Obs - Repara que criei o certificado para 10 anos ;). NÃO ESQUEÇA QUE A CHAVE DEVE SER LEVADA PARA O SERVIDOR SLAVE SE FOR O CASO
5 - Vamos ajustar as permissões
chown -Rf ldap:ldap /etc/pki/tls/certs/$cert.pem chmod -Rf 750 /etc/pki/tls/certs/$key.pem
6 - Ajuste a configuração do próprio servidor para realizar os testes com:
vim /etc/openldap/ldap.conf
Tem que ficar assim:
URI ldap://as01.linea.gov.br BASE dc=des-brazil,dc=org SSL ON TLS_CACERT /etc/pki/tls/certs/slapdcert.pem TLS_REQCERT never
7 - Vamos reiniciar o servidor para testar:
service slapd restart
8 - Dê o comando abaixo que deverá listar sua base de usuários
ldapsearch -x -ZZ
9 - Agora vamos configurar o cliente para autenticar via TLS
No arquivo /etc/pam_ldap.conf deve ficar assim alterado:
base dc=des-brazil,dc=org uri ldap://as01.linea.gov.br ssl start_tls scope sub TLS_CACERT /etc/pki/tls/certs/slapdcert.pem TLS_REQCERT never pam_password md5 pam_groupdn cn=srvlistas,ou=maquinas,dc=des-brazil,dc=org pam_member_attribute memberUid REFERRALS off
Ativar o ldap pelo:
authconfig-tui
Para criar o diretorio home do usario:
authconfig --enablemkhomedir --update
No arquivo /etc/openldap/ldap.conf se existir deve ficar assim:
URI ldap://as01.linea.gov.br BASE dc=des-brazil,dc=org SSL START_TLS TLS_CACERT /etc/pki/tls/certs/slapdcert.pem TLS_REQCERT never
8 - Não esquece reiniciar o serviço de autenticação cliente:
service nslcd restart
9 - Fim