Re: Wheezy+OpenLDAP+SSL/TLS

[Steven D <debstuben@yahoo.fr>]

Bonjour,

J'ai déjà ensuite à plusieurs reprise des serveurs OpenLDAP avec TLS.

En effet je me suis heurté à quelques difficultés pour la création des certificats.

Tout d'abord tu peux vérifié avec quoi OpenLDAP à été compilé, pour cela :

     # ldd /usr/sbin/slapd

et vérifier la présence de la ligne suivant :

     libgnutls.so.26 => /usr/lib/libgnutls.so.26

Si t'elle est le cas, tu dois bien utilisé gnutls.

Pour l'autorité de certification :

1 - Commencé par créer la clé privée pour le certificat auto-signé :

      # certtool --generate-privkey > /etc/ssl/private/cakey.pem

2 - Créer un fichier de paramétrage :

      # vim /etc/ssl/ca.info

Avec les données suivantes à adapter bien sur :

      cn = Ma boite

      ca 

      cert_signing_key

3 - Ensuite il faut créer le certificat auto-signé comme suivant :

      certtool --generate-self-signed --load-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/ca.info --outfile /etc/ssl/certs/cacert.pem

Tu obtiens le certificat auto-signé de l'autorité de certificat !

Il faut ensuite créer les certificats pour chaque serveur (provider et consumer) comme cela :

1 - Génération de la clé privée pour le serveur :

      # certtool --generate-privkey > /etc/ssl/private/debian-LDAP1_slapd_key.pem

2 - Création du fichier d'information avec les paramètres suivants :

      # vim /etc/ssl/debian-LDAP1.info

organization = Example Company

     cn = debian-LDAP1.ma-boite.fr 

     tls_www_server

     encryption_key 

     signing_key

3 - Générer le certificat du serveur :

      # certtool --generate-certificate --load-privkey /etc/ssl/private/debian-LDAP1_slapd_key.pem --load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/debian-LDAP1.info --outfile /etc/ssl/certs/debian-LDAP1_slapd_cert.pem

Il faut faire bien vérifier que OpenLDAP à les droits sur les certificats, sinon le démon ne démarrera pas:

Exemple de droits :

     # chgrp openldap /etc/ssl/certs/cacert.pem

     # chmod 750 /etc/ssl/certs/cacert.pem

     # chgrp openldap /etc/ssl/certs/debian-LDAP1_slapd_cert.pem

     # chmod 750 /etc/ssl/certs/debian-LDAP1_slapd_cert.pem

     # chgrp openldap /etc/ssl/private/debian-LDAP1_slapd_key.pem

     # chmod 750 /etc/ssl/private/debian-LDAP1_slapd_key.pem

Pour finir dans ta config LDAP, il te faut renseigner les paramètres suivants:

# TLS/SSL

     TLSCiphersuite SECURE256:!AES-128-CBC

     TLSCACertificateFile /etc/ssl/certs/cacert.pem

     TLSCertificateFile /etc/ssl/certs/debian-LDAP1_slapd_cert.pem

     TLSCertificateKeyFile /etc/ssl/private/debian-LDAP1_slapd_key.pem

Si tous est bien en place, tu devras voir dans les logs des lignes comme celle-ci :

     Jul 26 11:10:50 ldap01-v slapd[8339]: conn=13866 op=0 STARTTLS

     Jul 26 11:10:50 ldap01-v slapd[8339]: conn=13866 op=0 RESULT oid= err=0 text=

     Jul 26 11:10:50 ldap01-v slapd[8339]: conn=13866 fd=37 TLS established tls_ssf=256 ssf=256

Steven

Le 25 juillet 2013 13:22, YOUNOUSS Abba Soungui <yasalos@yahoo.fr> a écrit :

Bonjour,

 

J'essaye de mettre en place un serveur LDAP sous Wheezy, l'installation se passe problème, mais quand j'essaye d'activer le chiffrement par SSL/TLS, ça ne marche pas. J'ai suivi un tas de tutos sur le net, mais aucun n'a fonctionné.

D'après ce que j'ai lu, Debian a compilé OpenLDAP en utilisant GnuTLS au lieu de OpenSSL sur lesquels sont basés la majorité des tutos sur le net. J'ai aussi essayé de générer des certificats autosigné avec Certtool (GNUTLS) et même d'installer au CA sur mon serveur pour certifier les certificats, mais aucune de ces tentatives n'a marché.

J'aimerai savoir si quelqu'un a réussi à faire fonctionner OpenLDAP sous Wheezy avec le TLS activé. Et si oui, j'aimerai avoir la démarche ou un lien vers le tuto qu'il a suivi.

 

Entre temps, je vais jetter un coup d'oeil sur Apache Directory Server. Quelqu'un a un retour d'expérience dessus?