O objetivo deste post é adicionar criptografia em nosso servidor LDAP para melhorar a segurança, irei utilizar o TLS pois o mesmo não necessita de uma nova porta para ser implementado, ao contrário do SSL.
Aproveitaremos as configurações do servidor LDAP feita anteriormente. Mãos a obra:
Caso o openssl não esteja instalado vamos instala-lo.
# apt-get install openssl
Criar o diretório para armazenar os certificados:
# mkdir /etc/ldap/chaves
# cd /etc/ldap/chaves
Vamos criar no Autoridade certificadora
# /usr/lib/ssl/misc/CA.sh -newca
Entre com frase senha Repita Country: BR State: Rio de Janeiro City: Rio de Janeiro Company: CooperaTI Section: local Common Name: cooperati.local email: ricardo@cooperati.com.br challenge: [ENTER] optional: [ENTER]
Digite a frase senha do certificado
Nos próximos passos vamos gerar a chave e o certificado:
Gerando o par de chaves TLS
# openssl genrsa -out cooperati.key 1024
Gerando a solicitação de assinatura de Certificado
# openssl req -new -key cooperati.key -out cooperati.csr
Country: BR State: Rio de Janeiro City: Rio de Janeiro Company: CooperaTI Section: local Common Name: cooperati.local email: ricardo@cooperati.com.br challenge: [ENTER] optional: [ENTER]
Assinando o Certificado
# openssl x509 -req -days 1095 -in cooperati.csr -signkey cooperati.key -out cooperati.cert
# cp demoCA/cacert.pem .
Trocar a propriedade dos arquivos gerados
# chown openldap:openldap *
Parar o servidor ldap
# /etc/init.d/slapd stop
Adicionar o certificado e a chave no slapd.conf (logo abaixo dos schemas)
[ … ] TLSCertificateFile /etc/ldap/chaves/cooperati.cert TLSCertificateKeyFile /etc/ldap/chaves/cooperati.key TLSCACertificateFile /etc/ldap/chaves/cacert.pem [ … ]
Iniciar o servidor LDAP
# /etc/init.d/slapd start
Vamos realizar um ajuste no arquivo de configuração do cliente LDAP:
# vi /etc/ldap/ldap.conf
BASE dc=cooperati,dc=local URI ldap://cooperati.local TLS_CACERT /etc/ldap/chaves/cacert.pem
Vamos testar
# ldapsearch -x -ZZ
Se nenhum erro surgiu significa que o suporte ao TLS (STARTTLS) esta funcionando corretamente.
Vencemos mais uma etapa de configuração e gerenciamento do servidor e cliente LDAP. Espero que tenham gostado do post e não deixem de assinar nosso portal.
