Objectiu:
Aquesta petita entrada mostrarà com afegir la possibiltat de connectar-se al directori LDAP mitjançant SSL (amb l’extensió StartTLS)
Procediment:
Es parteix de la base que disposem d’un servidor amb OpenLDAP executant-se. Aquesta entrada mostrarà com realitzar la configuració sobre OpenLDAP 2.4. A més també es suposa que es disposa d’un entorn de certificació per generar certificats.
Amb les bases clares generarem un certificat pel servidor:
$ openssl req -newkey rsa:1024 -keyout ldap1.key -keyform PEM -out ldap1.req -outform PEM -utf8 -nodes -config openssl.cnf
Aquesta comanda generarà els dos arxius ldap1.key (la clau) i ldap1.req (la petició) per ser signats per l’autoritat de certificació utilitzant l’arxiu de configuració openssl.cnf.
Per signar la petició amb la CA fem:
$ openssl ca -in ldap1.req -out ldap1.crt -config openssl.cnf
Ja disposem de l’arxiu ldap1.crt que copiarem al servidor on s’executa OpenLDAP juntament amb la clau i el certificat de la CA. La petició incial (ldap1.req) es pot eliminar.
Configuració d’OpenLDAP:
Amb els arxius ca.crt, ldap1.key i ldap1.crt copiats a la carpeta /etc/ldap/ssl del servidor afegirem les línies següents a l’arxiu /etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb.ldif:
olcTLSCACertificateFile: /etc/ldap/ssl/ca.crt olcTLSCertificateFile: /etc/ldap/ssl/ldap1.crt olcTLSCertificateKeyFile: /etc/ldap/ssl/ldap1.key
Reiniciem el servei:
$ /etc/init.d/slapd restart
A partir d’aquest punt ja podem connectar al port 389 mitjançant StartTLS. Si desitjem habilitar el port 686 per connectar amb ldaps:// podem modificar l’arxiu /etc/default/slapd i afegir (o modificar) la línia:
SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"
L’opció d’utilitzar un segon port per les connexions segures està desaconsellat per a LDAP, es recomana utilitzar l’extensió StartTLS sempre que sigui possible.