O objetivo deste post é adicionar criptografia em nosso servidor LDAP para melhorar a segurança, irei utilizar o TLS pois o mesmo não necessita de uma nova porta para ser implementado, ao contrário do SSL.
Aproveitaremos as configurações do servidor LDAP feita anteriormente. Mãos a obra:
Caso o openssl não esteja instalado vamos instala-lo.
# apt-get install openssl
Criar o diretório para armazenar os certificados:
# mkdir /etc/ldap/chaves
# cd /etc/ldap/chaves
Vamos criar no Autoridade certificadora
# /usr/lib/ssl/misc/CA.sh -newca
Entre com frase senha Repita Country: BR State: Rio de Janeiro City: Rio de Janeiro Company: MundoTIBrasil Section: local Common Name: mundotibrasil.local email: ricardo@mundotibrasil.com.br challenge: [ENTER] optional: [ENTER]
Digite a frase senha do certificado
Nos próximos passos vamos gerar a chave e o certificado:
Gerando o par de chaves TLS
# openssl genrsa -out mundotibrasil.key 1024
Gerando a solicitação de assinatura de Certificado
# openssl req -new -key mundotibrasil.key -out mundotibrasil.csr
Country: BR State: Rio de Janeiro City: Rio de Janeiro Company: MundoTIBrasil Section: local Common Name: mundotibrasil.local email: ricardo@mundotibrasil.com.br challenge: [ENTER] optional: [ENTER]
Assinando o Certificado
# openssl x509 -req -days 1095 -in mundotibrasil.csr -signkey mundotibrasil.key -out mundotibrasil.cert
# cp demoCA/cacert.pem .
Trocar a propriedade dos arquivos gerados
# chown openldap:openldap *
Parar o servidor ldap
# /etc/init.d/slapd stop
Adicionar o certificado e a chave no slapd.conf (logo abaixo dos schemas)
[ … ] TLSCertificateFile /etc/ldap/chaves/mundotibrasil.cert TLSCertificateKeyFile /etc/ldap/chaves/mundotibrasil.key TLSCACertificateFile /etc/ldap/chaves/cacert.pem [ … ]
Iniciar o servidor LDAP
# /etc/init.d/slapd start
Vamos realizar um ajuste no arquivo de configuração do cliente LDAP:
# vi /etc/ldap/ldap.conf
BASE dc=mundotibrasil,dc=local URI ldap://mundotibrasil.local TLS_CACERT /etc/ldap/chaves/cacert.pem TLS_REQCERT allow
Vamos testar
# ldapsearch -x -ZZ
Se nenhum erro surgiu significa que o suporte ao TLS (STARTTLS) esta funcionando corretamente.
Vencemos mais uma etapa de configuração e gerenciamento do servidor e cliente LDAP. Espero que tenham gostado do post e não deixem de assinar nosso portal.