Dra upp TLS på openldap server ubuntu 12.04

2012-02-17

1 minute read

Security

Daxs att sätta upp openldap server och lägga på TLS på den.
Första steget fixa till så det finns certifikat till server.

installera lite paket som behövs

sudo apt-get install gnutls-bin ssl-cert

Fixa en ca nyckel som kommer vara som en bas

sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"

skapa en fil som heter /etc/ssl/ca.info
och lägg följande i den

cn = Example Company
ca
cert_signing_key

Daxs att göra en nyckel till server och signa den med våran ca nyckel

sudo certtool --generate-self-signed \
--load-privkey /etc/ssl/private/cakey.pem \ 
--template /etc/ssl/ca.info \
--outfile /etc/ssl/certs/cacert.pem

Nu är våran ca klart coh vi ska göra en nyckel till
ldap server

sudo certtool --generate-privkey \
--bits 1024 \
--outfile /etc/ssl/private/ldap01_slapd_key.pem

Nu har vi en nyckel till vårat cert nu ska fi göra en fil med lite info till certifikatet

organization = Example Company
cn = ldap01.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 3650

Sedan ska vi ta och skapa certet

sudo certtool --generate-certificate \
--load-privkey /etc/ssl/private/ldap01_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/cacert.pem \
--load-ca-privkey /etc/ssl/private/cakey.pem \
--template /etc/ssl/ldap01.info \
--outfile /etc/ssl/certs/ldap01_slapd_cert.pem

Nu har vi vårat cetr klart nu är det daxs att kadda in våra värden in i ldap servern
Skapa en ldif fil som heter tld.ldif

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem

Ladda in ldif filen i ldap


sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f tls.ldif

Ta och ge slapd server rättigheter med apparmor att läsa certifikaten

OBS KOLLA FILNAMNEN SÅ DE STÄMMER MED DINA !!!!

/etc/ssl/cert/cacert.pem r,
/etc/ssl/private/ldap01.elinofied.se.pem r,
/etc/ssl/cert/ldap01_slapd_cert.pem r,

Ta och ge slap användaren rättigheter till certen

sudo adduser openldap ssl-cert
sudo chgrp ssl-cert /etc/ssl/private/ldap01_slapd_key.pem
sudo chmod g+r /etc/ssl/private/ldap01_slapd_key.pem
sudo chmod o-r /etc/ssl/private/ldap01_slapd_key.pem

Nu är det bara att starta om apparmor och slapd och du ska ha en ldapserver som kan köra TLS.

Guden som jag använnt finns här.
https://help.ubuntu.com/11.10/serverguide/C/openldap-server.html

The post is brought to you by lekhonee v0.7