Adicionando criptografia no OpenLDAP (TLS)
rpinheiro
O objetivo deste post é adicionar criptografia em nosso servidor LDAP para melhorar a segurança, irei utilizar o TLS pois o mesmo não necessita de uma nova porta para ser implementado, ao contrário do SSL.
Aproveitaremos as configurações do servidor LDAP feita anteriormente. Mãos a obra:
Caso o openssl não esteja instalado vamos instala-lo.
# apt-get install openssl
Criar o diretório para armazenar os certificados:
# mkdir /etc/ldap/chaves
# cd /etc/ldap/chaves
Vamos criar no Autoridade certificadora
# /usr/lib/ssl/misc/CA.sh -newca
1 2 3 4 5 6 7 8 9 10 11 | Entre com frase senha Repita <strong>Country:</strong> BR <strong>State:</strong> Rio de Janeiro <strong>City:</strong> Rio de Janeiro <strong>Company:</strong> CooperaTI <strong>Section:</strong> local <strong>Common Name:</strong> cooperati.local <strong>email:</strong> ricardo@82c.bd8.myftpupload.com <strong>challenge:</strong> [ENTER] <strong>optional:</strong> [ENTER] |
Digite a frase senha do certificado
Nos próximos passos vamos gerar a chave e o certificado:
Gerando o par de chaves TLS
# openssl genrsa -out cooperati.key 1024
Gerando a solicitação de assinatura de Certificado
# openssl req -new -key cooperati.key -out cooperati.csr
1 2 3 4 5 6 7 8 9 | <strong>Country:</strong> BR <strong>State:</strong> Rio de Janeiro <strong>City:</strong> Rio de Janeiro <strong>Company:</strong> CooperaTI <strong>Section:</strong> local <strong>Common Name:</strong> cooperati.local <strong>email:</strong> ricardo@82c.bd8.myftpupload.com <strong>challenge:</strong> [ENTER] <strong>optional:</strong> [ENTER] |
Assinando o Certificado
# openssl x509 -req -days 1095 -in cooperati.csr -signkey cooperati.key -out cooperati.cert
# cp demoCA/cacert.pem .
Trocar a propriedade dos arquivos gerados
# chown openldap:openldap *
Parar o servidor ldap
# /etc/init.d/slapd stop
Adicionar o certificado e a chave no slapd.conf (logo abaixo dos schemas)
1 2 3 4 5 | [ … ] TLSCertificateFile /etc/ldap/chaves/cooperati.cert TLSCertificateKeyFile /etc/ldap/chaves/cooperati.key TLSCACertificateFile /etc/ldap/chaves/cacert.pem [ … ] |
Iniciar o servidor LDAP
# /etc/init.d/slapd start
Vamos realizar um ajuste no arquivo de configuração do cliente LDAP:
# vi /etc/ldap/ldap.conf
1 2 3 | BASE dc=cooperati,dc=local URI ldap://cooperati.local TLS_CACERT /etc/ldap/chaves/cacert.pem |
Vamos testar
# ldapsearch -x -ZZ
Se nenhum erro surgiu significa que o suporte ao TLS (STARTTLS) esta funcionando corretamente.
Vencemos mais uma etapa de configuração e gerenciamento do servidor e cliente LDAP. Espero que tenham gostado do post e não deixem de assinar nosso portal.
