Adicionando criptografia no OpenLDAP (TLS)


O objetivo deste post é adicionar criptografia em nosso servidor LDAP para melhorar a segurança, irei utilizar o TLS pois o mesmo não necessita de uma nova porta para ser implementado, ao contrário do SSL.

Aproveitaremos as configurações do servidor LDAP feita anteriormente. Mãos a obra:
Caso o openssl não esteja instalado vamos instala-lo.
# apt-get install openssl
Criar o diretório para armazenar os certificados:
# mkdir /etc/ldap/chaves
# cd /etc/ldap/chaves
Vamos criar no Autoridade certificadora
# /usr/lib/ssl/misc/CA.sh -newca

Entre com frase senha
Repita
Country: BR
State: Rio de Janeiro
City: Rio de Janeiro
Company: CooperaTI
Section: local
Common Name: cooperati.local
email: [email protected]
challenge: [ENTER]
optional: [ENTER]

Digite a frase senha do certificado
Nos próximos passos vamos gerar a chave e o certificado:
Gerando o par de chaves TLS
# openssl genrsa -out cooperati.key 1024
Gerando a solicitação de assinatura de Certificado
# openssl req -new -key cooperati.key -out cooperati.csr

Country: BR
State: Rio de Janeiro
City: Rio de Janeiro
Company: CooperaTI
Section: local
Common Name: cooperati.local
email: [email protected]
challenge: [ENTER]
optional: [ENTER]

Assinando o Certificado
# openssl x509 -req -days 1095 -in cooperati.csr -signkey cooperati.key -out cooperati.cert
# cp demoCA/cacert.pem .
Trocar a propriedade dos arquivos gerados
# chown openldap:openldap *
Parar o servidor ldap
# /etc/init.d/slapd stop
Adicionar o certificado e a chave no slapd.conf (logo abaixo dos schemas)

[ … ]
TLSCertificateFile       /etc/ldap/chaves/cooperati.cert
TLSCertificateKeyFile    /etc/ldap/chaves/cooperati.key
TLSCACertificateFile     /etc/ldap/chaves/cacert.pem
[ … ]

Iniciar o servidor LDAP
# /etc/init.d/slapd start
Vamos realizar um ajuste no arquivo de configuração do cliente LDAP:
# vi /etc/ldap/ldap.conf

BASE             dc=cooperati,dc=local
URI              ldap://cooperati.local
TLS_CACERT       /etc/ldap/chaves/cacert.pem

Vamos testar
# ldapsearch -x -ZZ
Se nenhum erro surgiu significa que o suporte ao TLS (STARTTLS) esta funcionando corretamente.
Vencemos mais uma etapa de configuração e gerenciamento do servidor e cliente LDAP. Espero que tenham gostado do post e não deixem de assinar nosso portal.

Share

    Deixe uma resposta

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    © 2019 All Rights Reserved. Cooperati.