Documentacao/Manuais: configurandotlsnoldap.txt

File configurandotlsnoldap.txt, 1.8 KB (added by viani, 9 years ago)
Line 
1Open LDAP com TLS
2
3apt-get install slapd ldap-utils openssl ssl-cert libsasl2-modules db4.2-util
4
5slappasswd -s SENHA -h {MD5}
6
7slapadd -v -q -b "dc=ldap1,dc=govpr,dc=br" -l ldap-backup-sesp-2a.ldif
8
9vi /usr/lib/ssl/misc/CA.sh
10Modificar linha: $CA -policy policy_anything -days 1460 -out newcert.pem -infiles newreq.pem
11
12/usr/lib/ssl/misc/CA.sh -newca -> Gera o certificado da Autoridade Certificadora. (Não esqueça a senha)
13Responder as perguntas.
14Cuidado com o Common Name, deve ser o mesmo da saida hostname -f (arquivo hosts)
15
16openssl req -new -nodes -keyout newreq.pem -out newreq.pem -> Gera a Chave para o servidor.
17Responda as perguntas.
18As senhas devem ser deixadas em branco.
19
20/usr/lib/ssl/misc/CA.sh -sign -> Assine o certificado do servidor e a chave privada.
21A senha da Autoridade Certificadora será pedida.
22Reponda as perguntas.
23
24CONFIGURAÇÃO DO OPENLDAP:
25Copie os arquivos gerados para um diretório chamado /etc/ldap/tls/
26
27ldap:/etc/ldap/tls# cp ../certificados/demoCA/cacert.pem ./
28
29ldap:/etc/ldap/tls# cp ../certificados/newcert.pem ./cert.pem
30
31ldap:/etc/ldap/tls# cp ../certificados/newreq.pem ./key.pem
32
33Adiciona as linhas abaixo no arquivo slapd.conf antes da linha "database        bdb"
34#######################################################################
35# CERTIFICADO
36TLSCACertificateFile    /etc/ldap/tls/cacert.pem
37TLSCertificateFile      /etc/ldap/tls/cert.pem
38TLSCertificateKeyFile   /etc/ldap/tls/key.pem
39
40Edite o aquivo /etc/default/slapd e adicione ou modifique a seguinte linha:
41SLAPD_SERVICES="ldap:/// ldaps:///"
42
43Edite o arquivo /etc/ldap/ldap.conf e adicione a seguinte linha:
44TLS_REQCERT     allow
45
46Reinicie o serviço:
47/etc/init.d/slapd restart
48
49Verifique se a porta 636 (ldapssl) esta aberta:
50nmap localhost
51
52e teste a conexão com o ldapssl:
53ldapsearch -C -x -H ldaps://ldap.eparana.parana "(uid=sesp-jakjr)" cn -b "dc=pr,dc=gov,dc=br"