25
2009
Créer un serveur OpenLdap Sécurisé (LDAPS)
Nous allons configurer openldap pour s’assurer que l’authentification et les informations ne circulent pas en claires. Pour cela, nous allons devoir générer un certificat serveur à l’aide d’openssl, indiquer au serveurs Ldap d’utiliser ces certificats et enfin lui demander d’écouter sur un nouveau port pour les connexions sécurisées.
Pré-requis :
- OpenLdap installé et configuré
- Openssl doit être installé
Génération du certificat serveur :
Créer l’arborescence qui contiendra les certificats que nous allons générer :
mkdir –p /etc/ssl /etc/ssl/openldap
cd /etc/ssl/openldap
Générer le certificat :
openssl req -x509 -new -config openssl-ldap.cnf -out ldap_cert.pem -keyout ldap_key.pem -days 730 –nodes
Vous devez répondre aux questions. Celles-ci permettent à l’utilisateurs de connaître la provenance du certificat.
Deux fichiers vont être générés : ldap_cert.pem et ldap_key.pem
Mettez leurs les droits 440 propriétaire root groupe ldap
Configuration d’OpenLdap
Editez le fichier /etc/openldap/slapd.conf et ajoutez :
TLSCertificateFile /etc/ssl/openldap/ldap_cert.pem
TLSCertificateKeyFile /etc/ssl/openldap/ldap_key.pem
Ces lignes permettent de spécifier l’emplacement du certificat et de sa clé au serveur OpenLdap.
Editez le fichier /etc/openldap/ldap.conf Pour qu’il ressemble à cela :
URI ldaps://192.168.0.1:636
TLS_CACERTDIR /etc/ssl/openldap/
Le serveur ldap écoutera sur le port 636 au redémarrage du service ldap.
Vous pouvez tenter une connexion avec JXplorer :
Articles similaires
Publicité :)
Articles récents
- Memento VI – Boostez Votre Productivité avec Vi : Trucs et Astuces à Connaître
- Configuration de Nginx pour Obtenir l’IP Réelle des Visiteurs avec CloudFlare
- Récupérer les informations d’un Ordinateur Terra à partir du numéros de série avec Python
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc…
- Failed to Start File System Check – Vcenter 7
Mot-clefs
Commentaires récents
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc… dans
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc… dans
- Rotation des logs avec logrotate dans
- Hôte déconnecté sur le Vcenter. Impossible de se connecter à l’ESX. dans
- Pourquoi mon interface vlan ne veut pas devenir up ? dans
Bonjour,
Merci pour ce tuto qui a l’air relativement simple, mais je rencontre des la génération des certificats plusieurs messages d’erreurs, pouvez-vous m’aider ?
error on line -1 of openssl-ldap.cnf
930:error:02001002:system library:fopen:No such file or directory:bss_file.c:126:fopen(‘openssl-ldap.cnf’,’rb’)
930:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:129:
930:error:0E078072:configuration file routines:DEF_LOAD:no such file:conf_def.c:197:
Salut,
Essai avec cette commande : openssl req -new -x509 -nodes -out /etc/ssl/ldap_cert.pem -keyout /etc/openldap/ssl/ldap_key.pem -days 3650
Ton erreur est que le fichier openssl-ldap.cn n’existe pas.
Assure toi que le dossier /etc/ssl est bien créé avant de lancer la commande.
Bon courage
Bonjour,
Merci vraiment pour ton aide, j’ai bien le dossier /etc/ssl de crée, voici ce qu’il contient:
root@*********:/etc/ssl# ls
ca certs mykey openldap openssl.cnf private
voici le résultat de la commande:
Generating a 1024 bit RSA private key
…………..++++++
…….++++++
writing new private key to ‘/etc/openldap/ssl/ldap_key.pem’
/etc/openldap/ssl/ldap_key.pem: No such file or directory
6360:error:02001002:system library:fopen:No such file or directory:bss_file.c:356:fopen(‘/etc/openldap/ssl/ldap_key.pem’,’w’)
6360:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:358:
openssl req -new -x509 -nodes -out /etc/ssl/ldap_cert.pem -keyout /etc/ssl/ldap_key.pem -days 3650
essai ça
salut,
ok cette commande a bien marché, par contre cela m’a crée les certificats dans /etc/ssl/
j’ai ensuite fait un: chown -R 440 / ldap_key.pem
et la maintenant je n’ai plus accès au ldap… une idée ?
Ouh la!! ce que tu as fait n’a rien à voir au fait que ton ldap ne marche plus sauf s’il était déjà configuré en SSL et que le certificat se nommait de la même manière.
Bonsoir,
mon serveur Ldap semble bien fonctionner, j’ai donc suivit tout le tuto, mais au reboot du service slapd, avec la commande netstat, le serveur ne semble pas être en écoute du port 636…
Une idée ?