| 1 | {{{ |
| 2 | #!text |
| 3 | Open LDAP com TLS |
| 4 | |
| 5 | apt-get install slapd ldap-utils openssl ssl-cert libsasl2-modules db4.2-util |
| 6 | |
| 7 | slappasswd -s SENHA -h {MD5} |
| 8 | |
| 9 | slapadd -v -q -b "dc=ldap1,dc=govpr,dc=br" -l ldap-backup-sesp-2a.ldif |
| 10 | |
| 11 | vi /usr/lib/ssl/misc/CA.sh |
| 12 | Modificar linha: $CA -policy policy_anything -days 1460 -out newcert.pem -infiles newreq.pem |
| 13 | |
| 14 | /usr/lib/ssl/misc/CA.sh -newca -> Gera o certificado da Autoridade Certificadora. (Não esqueça a senha) |
| 15 | Responder as perguntas. |
| 16 | Cuidado com o Common Name, deve ser o mesmo da saida hostname -f (arquivo hosts) |
| 17 | |
| 18 | openssl req -new -nodes -keyout newreq.pem -out newreq.pem -> Gera a Chave para o servidor. |
| 19 | Responda as perguntas. |
| 20 | As senhas devem ser deixadas em branco. |
| 21 | |
| 22 | /usr/lib/ssl/misc/CA.sh -sign -> Assine o certificado do servidor e a chave privada. |
| 23 | A senha da Autoridade Certificadora será pedida. |
| 24 | Reponda as perguntas. |
| 25 | |
| 26 | CONFIGURAÇÃO DO OPENLDAP: |
| 27 | Copie os arquivos gerados para um diretório chamado /etc/ldap/tls/ |
| 28 | |
| 29 | ldap:/etc/ldap/tls# cp ../certificados/demoCA/cacert.pem ./ |
| 30 | |
| 31 | ldap:/etc/ldap/tls# cp ../certificados/newcert.pem ./cert.pem |
| 32 | |
| 33 | ldap:/etc/ldap/tls# cp ../certificados/newreq.pem ./key.pem |
| 34 | |
| 35 | Adiciona as linhas abaixo no arquivo slapd.conf antes da linha "database bdb" |
| 36 | ####################################################################### |
| 37 | # CERTIFICADO |
| 38 | TLSCACertificateFile /etc/ldap/tls/cacert.pem |
| 39 | TLSCertificateFile /etc/ldap/tls/cert.pem |
| 40 | TLSCertificateKeyFile /etc/ldap/tls/key.pem |
| 41 | |
| 42 | Edite o aquivo /etc/default/slapd e adicione ou modifique a seguinte linha: |
| 43 | SLAPD_SERVICES="ldap:/// ldaps:///" |
| 44 | |
| 45 | Edite o arquivo /etc/ldap/ldap.conf e adicione a seguinte linha: |
| 46 | TLS_REQCERT allow |
| 47 | |
| 48 | Reinicie o serviço: |
| 49 | /etc/init.d/slapd restart |
| 50 | |
| 51 | Verifique se a porta 636 (ldapssl) esta aberta: |
| 52 | nmap localhost |
| 53 | |
| 54 | e teste a conexão com o ldapssl: |
| 55 | ldapsearch -C -x -H ldaps://ldap.eparana.parana "(uid=sesp-jakjr)" cn -b "dc=pr,dc=gov,dc=br" |
| 56 | }}} |