Nous allons configurer openldap pour s’assurer que l’authentification et les informations ne circulent pas en claires. Pour cela, nous allons devoir générer un certificat serveur à l’aide d’openssl, indiquer au serveurs Ldap d’utiliser ces certificats et enfin lui demander d’écouter sur un nouveau port pour les connexions sécurisées.

Pré-requis :

• OpenLdap installé et configuré
• Openssl doit être installé

Génération du certificat serveur :

Créer l’arborescence qui contiendra les certificats que nous allons générer :

mkdir –p /etc/ssl /etc/ssl/openldap

cd /etc/ssl/openldap

Générer le certificat :

openssl req -x509 -new -config openssl-ldap.cnf -out ldap_cert.pem -keyout ldap_key.pem -days 730 –nodes

Vous devez répondre aux questions. Celles-ci permettent à l’utilisateurs de connaître la provenance du certificat.

Deux fichiers vont être générés : ldap_cert.pem et ldap_key.pem

Mettez leurs les droits 440 propriétaire root groupe ldap

Configuration d’OpenLdap

Editez le fichier /etc/openldap/slapd.conf et ajoutez :

TLSCertificateFile /etc/ssl/openldap/ldap_cert.pem
TLSCertificateKeyFile /etc/ssl/openldap/ldap_key.pem

Ces lignes permettent de spécifier l’emplacement du certificat et de sa clé au serveur OpenLdap.

Editez le fichier /etc/openldap/ldap.conf Pour qu’il ressemble à cela :

URI     ldaps://192.168.0.1:636
TLS_CACERTDIR /etc/ssl/openldap/

Le serveur ldap écoutera sur le port 636 au redémarrage du service ldap.

Vous pouvez tenter une connexion avec JXplorer :