1 | Open LDAP com TLS |
---|
2 | |
---|
3 | apt-get install slapd ldap-utils openssl ssl-cert libsasl2-modules db4.2-util |
---|
4 | |
---|
5 | slappasswd -s SENHA -h {MD5} |
---|
6 | |
---|
7 | slapadd -v -q -b "dc=ldap1,dc=govpr,dc=br" -l ldap-backup-sesp-2a.ldif |
---|
8 | |
---|
9 | vi /usr/lib/ssl/misc/CA.sh |
---|
10 | Modificar linha: $CA -policy policy_anything -days 1460 -out newcert.pem -infiles newreq.pem |
---|
11 | |
---|
12 | /usr/lib/ssl/misc/CA.sh -newca -> Gera o certificado da Autoridade Certificadora. (Não esqueça a senha) |
---|
13 | Responder as perguntas. |
---|
14 | Cuidado com o Common Name, deve ser o mesmo da saida hostname -f (arquivo hosts) |
---|
15 | |
---|
16 | openssl req -new -nodes -keyout newreq.pem -out newreq.pem -> Gera a Chave para o servidor. |
---|
17 | Responda as perguntas. |
---|
18 | As senhas devem ser deixadas em branco. |
---|
19 | |
---|
20 | /usr/lib/ssl/misc/CA.sh -sign -> Assine o certificado do servidor e a chave privada. |
---|
21 | A senha da Autoridade Certificadora será pedida. |
---|
22 | Reponda as perguntas. |
---|
23 | |
---|
24 | CONFIGURAÇÃO DO OPENLDAP: |
---|
25 | Copie os arquivos gerados para um diretório chamado /etc/ldap/tls/ |
---|
26 | |
---|
27 | ldap:/etc/ldap/tls# cp ../certificados/demoCA/cacert.pem ./ |
---|
28 | |
---|
29 | ldap:/etc/ldap/tls# cp ../certificados/newcert.pem ./cert.pem |
---|
30 | |
---|
31 | ldap:/etc/ldap/tls# cp ../certificados/newreq.pem ./key.pem |
---|
32 | |
---|
33 | Adiciona as linhas abaixo no arquivo slapd.conf antes da linha "database bdb" |
---|
34 | ####################################################################### |
---|
35 | # CERTIFICADO |
---|
36 | TLSCACertificateFile /etc/ldap/tls/cacert.pem |
---|
37 | TLSCertificateFile /etc/ldap/tls/cert.pem |
---|
38 | TLSCertificateKeyFile /etc/ldap/tls/key.pem |
---|
39 | |
---|
40 | Edite o aquivo /etc/default/slapd e adicione ou modifique a seguinte linha: |
---|
41 | SLAPD_SERVICES="ldap:/// ldaps:///" |
---|
42 | |
---|
43 | Edite o arquivo /etc/ldap/ldap.conf e adicione a seguinte linha: |
---|
44 | TLS_REQCERT allow |
---|
45 | |
---|
46 | Reinicie o serviço: |
---|
47 | /etc/init.d/slapd restart |
---|
48 | |
---|
49 | Verifique se a porta 636 (ldapssl) esta aberta: |
---|
50 | nmap localhost |
---|
51 | |
---|
52 | e teste a conexão com o ldapssl: |
---|
53 | ldapsearch -C -x -H ldaps://ldap.eparana.parana "(uid=sesp-jakjr)" cn -b "dc=pr,dc=gov,dc=br" |
---|