The OpenNET Project
 
Поиск (ключи):  ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ
ССЫЛКИ НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

Настраиваем OpenLDAP сервер и клиент с поддержкой SSL (freebsd ldap ssl auth)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >> 
Ключевые слова: freebsd, ldap, ssl, auth,  (найти похожие документы)

Date: Tue, 19 Apr 2005 17:31:23 +0600 (YEKST)
From: Григорьев Михаил <neo@ucsnet.ru.>, <neo@chel.skbkontur.ru.>
Subject: Настраиваем OpenLDAP сервер и клиент с поддержкой SSL

В организации существует несколько серверов FreeBSD 5.3, на одном из них
установлен OpenLDAP Server, на других используется OpenLDAP Client.
Имеем внутренний настроенный DNS с доменом domain.ru
OpenLDAP сервер назавём ldap.domain.ru

Задача: Организовать безопасное соединение с OpenLDAP-сервером с использованием SSL/TLS.

В системе установлен пакет:

        openldap-server-2.2.24


Вся настройка проводилась именно для ветки 2.2 OpenLDAP.


Создание сертификата организации:

С помощью этого сертификата, будем в дальнейшем подписывать все
остальные сертификаты пользователей, и сертификаты системных служб

Генерируем приватный ключ:

        # openssl genrsa -des3 -out ca.key 2048


Создание сертификата:

        # openssl req -new -x509 -days 1825 -utf8 -key ca.key -out ca.cert


Отвечаем на вопросы, не забываем про самый главный ответ (в моей системе было так):

        Common Name (eg, YOUR name) []: ldap.domain.ru


Создание пользовательского подписанного сертификата:

Генерируем приватный ключ:

        # openssl genrsa -out user.key 1024


Генерируем запрос для подписания сертификата:

        # openssl req -new -key user.key -out user.csr -utf8


Подписываем сертификат:

        # openssl x509 -req -in user.csr -out user.cert \
            -CA ca.cert -CAkey ca.key -CAcreateserial -days 1095


Приватный ключ ca.key надежно сохраняем, а публичный ключ ca.cert в
дальнейшем распространим по серверам - клиентам.

Создаём на серверной машине директорию для хранения сертификатов:

        # mkdir /usr/local/etc/openldap/ssl


Копируем сертификаты:

        # cp user.cert /usr/local/etc/openldap/ssl
        # cp user.key /usr/local/etc/openldap/ssl
        # cp ca.cert /usr/local/etc/openldap/ssl


Устанавливаем права: 

        # chmod 440 /usr/local/etc/openldap/ssl/*
        # chown root:wheel /usr/local/etc/openldap/ssl/*


Настройка серверной части OpenLDAP:

Редактируем Файл конфигурации (по умолчанию):

        # vi /usr/local/etc/openldap/slapd.conf


Из опций добавлено:

        disallow tls_authc
        TLSCertificateFile    /usr/local/etc/openldap/ssl/user.cert
        TLSCertificateKeyFile /usr/local/etc/openldap/ssl/user.key
        TLSCACertificateFile  /usr/local/etc/openldap/ssl/ca.cert


Внимание !!! Опцию disallow рекомендую добавить до определения database

Запускаем OpenLDAP Server:

        # /usr/local/libexec/slapd -h 'ldap://0.0.0.0/ ldaps://0.0.0.0/'


Проверяем:

        # netstat -atn | grep LISTEN
        tcp4       0      0  *.636                  *.*                    LISTEN
        tcp4       0      0  *.389                  *.*                    LISTEN


Отлично !!!


Настройка клиентской части OpenLDAP:

Создаём на клиентской машине директорию для хранения сертификата:

        # mkdir /usr/local/etc/openldap/ssl


Копируем сертификат:

        # cp ca.cert /usr/local/etc/openldap/ssl


Устанавливаем права: 

        # chmod 440 /usr/local/etc/openldap/ssl/ca.cert
        # chown root:wheel /usr/local/etc/openldap/ssl/ca.cert


Редактируем Файл конфигурации (по умолчанию):

        # vi /usr/local/etc/openldap/ldap.conf


Из опций добавлено:

        BASE        o=MyORG,c=RU
        URI         ldaps://ldap.domain.ru
        TLS_CACERT  /usr/local/etc/openldap/ssl/ca.cert
        TLS_REQCERT never


Проверка работоспособности LDAP-клиента:

        # ldapsearch -LL -H ldaps://ldap.domain.ru \
          -b "o=MyORG,c=RU" -W -x -D "cn=Manager,o=MyORG,c=RU"


Таким образом имеем работающие OpenLDAP сервер и клиент с SSL поддержкой.


Составил: Григорьев Михаил (<neo@ucsnet.ru.>, <neo@chel.skbkontur.ru.>)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ RSS ]
 
  • Ужас просто ужас неужели автор думает что л..., Аноним, 10:25, 21/04/2005 [ответить] (1)
    		• +/
    текст скрыт [посмотреть] [смотреть все]

  • Настраиваем OpenLDAP сервер и клиент с п, Zlobec, 11:23, 21/04/2005 [ответить] (2) 
    		• +/
    и где это в man'e написано?

  • Настраиваем OpenLDAP сервер и клиент с п, Григорьев Михаил, 20:06, 21/04/2005 [ответить] (3) 
    		• +/
    to Аноним

    Конечно, умеют, НО не все, к моему великому сожалению :(

    Тем более в статье описаны маленькие нюансы без знания которых SSL на OpenLDAP вы не заведёте, уж поверьте.


  • Настраиваем OpenLDAP сервер и клиент с п, cryptosonbian, 02:31, 22/04/2005 [ответить] (4) 
    		• +/
    Я вот не умею. Я поднял PDC во FreeBSD 5.3 просто, а когда захотел все на LDAP перетащить  - капец. Вся дока только под линух, в манах инфа разрозненная, к тому же инглиш я знаю далеко не идеально а настройка во фришке отличается от таковой в линухе в таких нюансах что сразу и не дойдет где подвох. Короче, хорошая заметка, но хотса баальшую статью типа "Централизованная схема управления сетью с использованием OpenLDAP в FreeBSD 5.x" (ну, говорят мечтать не воедно ;)  

     
  • Настраиваем OpenLDAP сервер и клиент с п, Loky, 11:04, 10/05/2005 [ответить] (8
    		• +/
    Централизованное управление сетью на openLDAP...
    цирк да и только. действительно, разве что помечтать.
    OpenLDAP даже до AD далеко, я уж молчу про масштабируемые промышленные системы.
    При всем уважении к автору, написал действительно мало полезную статью.

     
  • Настраиваем OpenLDAP сервер и клиент с п, Василий, 10:52, 30/07/2009 [ответить] (9
    		• +/
    Напишите более полезную. А про глобальности не интересно.

     
  • Настраиваем OpenLDAP сервер и клиент с п, Василий, 10:54, 30/07/2009 [ответить] (10
    		• +/
    to Loku
    Напишите более полезную. А про глобальности не интересно.



  • Настраиваем OpenLDAP сервер и клиент с п, Григорьев Михаил, 18:44, 22/04/2005 [ответить] (5) 
    		• +/
    Небольшое исправление в статье, относительно прав на каталог с сертификатами как на клиенте, так и на сервере.

    Права должны быть такие:

    # chmod -R 750 /usr/local/etc/openldap/ssl
    # chown ldap:ldap /usr/local/etc/openldap/ssl

    Иначе OpenLDAP Server не запустится при старте системы.


  • Настраиваем OpenLDAP сервер и клиент с п, Григорьев Михаил, 18:47, 22/04/2005 [ответить] (6
    		• +/
    На клиенте права на чтение нужно дать для всех:

    # chmod -R 755 /usr/local/etc/openldap/ssl
    # chown ldap:ldap /usr/local/etc/openldap/ssl


  • А вот опция -x в тесте, она влияет только на подтвержд..., Аноним, 16:10, 26/04/2005 [ответить] (7
    		• +/
    текст скрыт [посмотреть] [смотреть все]


    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



    Подпишись на Linux Format и получи один из 3 ценных призов!

    Началась подписка на журнал Linux Format на 2010 год. Спешите оформить подписку на единственный в России ежемесячный журнал о Linux!

    Все, оформившие подписку на печатную версию журнала, получают диск с архивом журнала Linux Format за 2005-2009г. в подарок. Также в подарок вы получаете именную электронную версию в формате PDF. Теперь вы можете приступить к чтению журнала сразу в момент выхода свежего номера, не дожидаясь, пока вам доставят бумажную версию.

    Кроме того, все, оформившие подписку на первую половину или весь 2010 год в интернет-магазине ГНУ/Линуксцентра, автоматически становятся участниками розыгрыша ценных призов:


      Закладки на сайте
      Проследить за страницей     		Created 1996-2010 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList