Mudanças entre as edições de "Habilitar TLS Openldap"

Edição das 19h06min de 11 de agosto de 2012

Como Habilitar o TLS no Openldap

Depois de instalado do Openldap sem a criptografia, proceda com as seguinte modificações:

1 - Edite o arquivo:

vim slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif

2 - Coloque as informações a seguir no final do arquivo:

olcTLSCertificateFile: /etc/pki/tls/certs/slapdcert.pem
olcTLSCertificateKeyFile: /etc/pki/tls/certs/slapdkey.pem
olcAccess: to attrs=userPassword
      by self write
      by anonymous auth
      by dn.base="cn=admin,dc=des-brazil,dc=org" write
      by * none
olcAccess: to *
      by self write
      by dn.base="cn=admin,dc=des-brazil,dc=org" write
      by * read

3 - Edita o /etc/sysconfig/ldap, descomenta SLAPD_LDAPS e troca de‘no’ para ‘yes’.

4 - Criar os certificados com o comando:

[root@as01 openldap]# openssl req -new -x509 -nodes -out /etc/pki/tls/certs/slapdcert.pem -keyout /etc/pki/tls/certs/slapdkey.pem -days 3650

Veja saida da Tela:

Generating a 2048 bit RSA private key
...........+++
.............................................................................................................+++
writing new private key to '/etc/pki/tls/certs/slapdkey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:BR
State or Province Name (full name) []:Rio de Janeiro
Locality Name (eg, city) [Default City]:Rio de Janeiro
Organization Name (eg, company) [Default Company Ltd]:LIneA
Organizational Unit Name (eg, section) []:POPRJ
Common Name (eg, your name or your server's hostname) []:(deixa em branco)
Email Address []:machado@slacam.com.br
[root@as01 openldap]#

Obs - Repara que criei o certificado para 10 anos ;). NÃO ESQUEÇA QUE A CHAVE DEVE SER LEVADA PARA O SERVIDOR SLAVE SE FOR O CASO

5 - Vamos ajustar as permissões

chown -Rf ldap:ldap /etc/pki/tls/certs/$cert.pem
chmod -Rf 750 /etc/pki/tls/certs/$key.pem

6 - Ajuste a configuração do próprio servidor para realizar os testes com:

vim /etc/openldap/ldap.conf

Tem que ficar assim:

URI ldap://as01.linea.gov.br
BASE dc=des-brazil,dc=org
SSL ON
TLS_CACERT /etc/pki/tls/certs/slapdcert.pem
TLS_REQCERT never

7 - Vamos reiniciar o servidor para testar:

service slapd restart

8 - Dê o comando abaixo que deverá listar sua base de usuários

ldapsearch -x -ZZ

9 - Agora vamos configurar o cliente para autenticar via TLS

No arquivo /etc/pam_ldap.conf deve ficar assim alterado:

base dc=des-brazil,dc=org
uri ldap://as01.linea.gov.br
ssl start_tls
scope sub
TLS_CACERT /etc/pki/tls/certs/slapdcert.pem
TLS_REQCERT never
pam_password md5
pam_groupdn cn=srvlistas,ou=maquinas,dc=des-brazil,dc=org
pam_member_attribute memberUid
REFERRALS       off

Ativar o ldap pelo:

 authconfig-tui

Para criar o diretorio home do usario:

authconfig --enablemkhomedir --update

No arquivo /etc/openldap/ldap.conf se existir deve ficar assim:

URI ldap://as01.linea.gov.br
BASE dc=des-brazil,dc=org
SSL START_TLS
TLS_CACERT /etc/pki/tls/certs/slapdcert.pem
TLS_REQCERT never

8 - Não esquece reiniciar o serviço de autenticação cliente:

service nslcd restart

9 - Fim

Mudanças entre as edições de "Habilitar TLS Openldap"

Edição das 19h06min de 11 de agosto de 2012

Menu de navegação

Ferramentas pessoais

Domínios

Variantes

Visualizações

Mais

Pesquisa

Navegação

Base de Conhecimento

Ferramentas

Google AdSense