Habilitar TLS Openldap
Como Habilitar o TLS no Openldap
Depois de instalado do Openldap sem a criptografia, proceda com as seguinte modificações:
1 - Edite o arquivo:
vim slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif
2 - Coloque as informações a seguir no final do arquivo:
olcTLSCertificateFile: /etc/pki/tls/certs/slapdcert.pem olcTLSCertificateKeyFile: /etc/pki/tls/certs/slapdkey.pem olcAccess: to attrs=userPassword by self write by anonymous auth by dn.base="cn=admin,dc=des-brazil,dc=org" write by * none olcAccess: to * by self write by dn.base="cn=admin,dc=des-brazil,dc=org" write by * read
3 - Edita o /etc/sysconfig/ldap, descomenta SLAPD_LDAPS e troca de‘no’ para ‘yes’.
4 - Criar os certificados com o comando:
[root@as01 openldap]# openssl req -new -x509 -nodes -out /etc/pki/tls/certs/slapdcert.pem -keyout /etc/pki/tls/certs/slapdkey.pem -days 3650
Veja saida da Tela:
Generating a 2048 bit RSA private key ...........+++ .............................................................................................................+++ writing new private key to '/etc/pki/tls/certs/slapdkey.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:BR State or Province Name (full name) []:Rio de Janeiro Locality Name (eg, city) [Default City]:Rio de Janeiro Organization Name (eg, company) [Default Company Ltd]:LIneA Organizational Unit Name (eg, section) []:POPRJ Common Name (eg, your name or your server's hostname) []:(deixa em branco) Email Address []:machado@slacam.com.br [root@as01 openldap]#
Obs - Repara que criei o certificado para 10 anos ;). NÃO ESQUEÇA QUE A CHAVE DEVE SER LEVADA PARA O SERVIDOR SLAVE SE FOR O CASO
5 - Vamos ajustar as permissões
chown -Rf ldap:ldap /etc/pki/tls/certs/$cert.pem chmod -Rf 750 /etc/pki/tls/certs/$key.pem
6 - Ajuste a configuração do próprio servidor para realizar os testes com:
vim /etc/openldap/ldap.conf
Tem que ficar assim:
URI ldap://as01.linea.gov.br BASE dc=des-brazil,dc=org SSL ON TLS_CACERT /etc/pki/tls/certs/slapdcert.pem TLS_REQCERT never
7 - Vamos reiniciar o servidor para testar:
service slapd restart
8 - Dê o comando abaixo que deverá listar sua base de usuários
ldapsearch -x -ZZ
9 - Agora vamos configurar o cliente para autenticar via TLS
No arquivo /etc/pam_ldap.conf deve ficar assim alterado:
base dc=des-brazil,dc=org uri ldap://as01.linea.gov.br ssl start_tls scope sub TLS_CACERT /etc/pki/tls/certs/slapdcert.pem TLS_REQCERT never pam_password md5 pam_groupdn cn=srvlistas,ou=maquinas,dc=des-brazil,dc=org pam_member_attribute memberUid REFERRALS off
Ativar o ldap pelo:
authconfig-tui
Para criar o diretorio home do usario:
authconfig --enablemkhomedir --update
No arquivo /etc/openldap/ldap.conf se existir deve ficar assim:
URI ldap://as01.linea.gov.br BASE dc=des-brazil,dc=org SSL START_TLS TLS_CACERT /etc/pki/tls/certs/slapdcert.pem TLS_REQCERT never
8 - Não esquece reiniciar o serviço de autenticação cliente:
service nslcd restart
9 - Fim