LDAP mit TLS - Versionsgeschichte

Yehudi: Quellen und weiterführende Links

2007-05-09T13:50:49Z

Quellen und weiterführende Links

Yehudi: Kategorie und NAv zuviel entfernt

2007-05-09T13:16:57Z

Kategorie und NAv zuviel entfernt

Yehudi: *

2007-05-09T13:15:39Z

Yehudi am 9. Mai 2007 um 13:15 Uhr

2007-05-09T13:15:20Z

Neue Seite

Autor: [[Benutzer:ThomasF|ThomasF]]<br />

Wenn der LDAP Server läuft und alle Funktionen die man haben möchte implementiert sind sollte man sich etwas über die Sicherheit Gedanken machen. Grundsätzlich wird nämlich das Passwort im Klartext über das Netzwerk geschickt, sodas es möglich ist dieses durch mithören der Netzwerkverbindung aufzuspüren. Aber das ist ja wohl kaum Sinn der Sache. ;-)

Bevor man nun also den LDAP Server in einer produktiven Umgebung nutzt sollte man dieses auf jeden Fall unterbinden. Hierfür gibt es grundsätzlich mehrere Möglichkeiten, aber die einfachste ist wohl die Absicherung der Netzwerkverbindung mit TLS.

* http://www.openldap.org/doc/admin22/tls.html
* http://www.openldap.org/faq/data/cache/185.html

Also die Dokumente aus /doc/ und /faq/ erläutern das so schlecht, dass man unbedingt was externes braucht. Z.B.
* http://www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html

Grundsätzlich kann man mit diesen Infos das TLS einrichten, aber hier noch einmal die Schritte

== Erstellen einer eigenen CA ==

mkdir /etc/openldap/certs
cd /etc/openldap/certs
cp /usr/share/ssl/misc/CA.sh .

CA.pl -newca
(Unter SUSE findet man dieses Script in /usr/share/ssl/misc/CA.sh )

== Erstellen des Server Zertifikats und private Key (als common Name den FQDN des LDAP Servers eingesetzt) ==

openssl req -new -nodes -keyout newreq.pem -out newreq.pem

== Das Zertifikat signiert ==

CA.pl -signcert

== Alle Dateien nach /etc/openldap/certs kopieren ==

<nowiki>cp /demoCA/cacert.pem /etc/openldap/certs/cacert.pem
mv newcert.pem /etc/openldap/certs/servercrt.pem
mv newreq.pem /etc/openldap/certs/serverkey.pem</nowiki>

Und hier noch eine Ergänzung bezüglich der Dateirechte dieser Zertifikate:
In der Datei serverkey.pem steckt der private Schlüssel des Servers der ganz besonders geschützt werden muß.Im großen und ganzen benötigt aber nur der User Rechte auf diese Dateien der den LDAP Server startet. Im Fall von SUSE ist das der User ldap, also setzen wir die Rechte einmal so restricktiv wie möglich.

<nowiki>cd /etc/openldap/certs
chown ldap servercrt.pem serverkey.pem cacert.pem
chmod 400 ldapcert.pem ldapkey.pem cacert.pem</nowiki>

== Folgende Zeilen in die slapd.conf eingetragen ==

<nowiki>...
TLSCertificateFile /etc/openldap/certs/servercrt.pem
TLSCertificateKeyFile /etc/openldap/certs/serverkey.pem
TLSCACertificateFile /etc/openldap/certs/cacert.pem
...</nowiki>

== Nun muß noch der Client konfiguriert werden, in der jeweiligen ldap.conf des Client Rechners ==

<nowiki># Your LDAP server. Must be resolvable without using LDAP.
host URL_meines_Servers # FQHN der auch bei der Erstellung der CA verwendet wurde !

# The distinguished name of the search base.
base o=meine-firma, c=de

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3

TLS_CACERT /etc/openldap/certs/cacert.pem

TLS_REQCERT allow</nowiki>

Das cacert muss im Zweifel auf den entfernten Client kopiert werden. Mit diesen Einstellungen sollte die TLS Verschlüßelung der Netzwerkverbindung erstmal funktionieren. Es ist aber noch keine Garantie gegeben das diese auch immer genutzt wird. Der Server akzeptiert auch weiterhin Verbindungen die nicht geschützt sind.

Ich wähle jedoch diese Vorgehensweise damit jeder Schrittweise dem Thema näher gebracht werden kann und außerdem soll diese Anleitung auf keinen Fall so verstanden werden das man meint sich nicht intensiver damit beschäftigen zu müssen Wink
----
[[Samba|zurück zu Samba]]<br />
[[LDAP|zurück zu LDAP]]

[[Category:Samba]] [[Category:LDAP]]

@@ Zeile 76: / Zeile 76: @@
 Das cacert muss im Zweifel auf den entfernten Client kopiert werden. Mit diesen Einstellungen sollte die TLS Verschlüßelung der Netzwerkverbindung erstmal funktionieren. Es ist aber noch keine Garantie gegeben das diese auch immer genutzt wird. Der Server akzeptiert auch weiterhin Verbindungen die nicht geschützt sind.
-Ich wähle jedoch diese Vorgehensweise damit jeder Schrittweise dem Thema näher gebracht werden kann und außerdem soll diese Anleitung auf keinen Fall so verstanden werden das man meint sich nicht intensiver damit beschäftigen zu müssen Wink
+Ich wähle jedoch diese Vorgehensweise damit jeder Schrittweise dem Thema näher gebracht werden kann und außerdem soll diese Anleitung auf keinen Fall so verstanden werden das man meint sich nicht intensiver damit beschäftigen zu müssen. ;-)
 ----
 [[LDAP|zurück zu LDAP]]
 [[Category:LDAP]]

@@ Zeile 9: / Zeile 9: @@
 <!--Diese Einfügung ist ein Zitat von Jenglh-->
 Also die Dokumente aus /doc/ und /faq/ erläutern das so schlecht, dass man unbedingt was externes braucht. Z.B.
- * http://www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html
+* http://www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html