Einführung
OpenLDAP bietet einen LDAP-Verzeichnisdienst, der flexibel und gut unterstützt wird. Der Server selbst kommuniziert jedoch über eine unverschlüsselte Webverbindung. In diesem Handbuch wird gezeigt, wie Verbindungen zu OpenLDAP mit STARTTLS verschlüsselt werden, um herkömmliche Verbindungen zu TLS zu aktualisieren. Wir werden Ubuntu 14.04 als LDAP-Server verwenden.
Voraussetzungen
Bevor Sie mit diesem Handbuch beginnen, sollten Sie einen Nicht-Root-Benutzer mitsudo
auf Ihrem Server eingerichtet haben. Befolgen Sie unsereUbuntu 14.04 initial setup guide, um einen Benutzer dieses Typs einzurichten.
In diesem Handbuch erfahren Sie, wie Sie OpenLDAP auf einem Ubuntu 14.04-Server installieren. Wenn Sie OpenLDAP bereits auf Ihrem Server installiert haben, können Sie die entsprechenden Installations- und Konfigurationsschritte überspringen.
LDAP über SSL vs LDAP mit STARTTLS
Es gibt zwei Möglichkeiten, LDAP-Verbindungen mit SSL / TLS zu verschlüsseln.
Traditionell wurden LDAP-Verbindungen, die verschlüsselt werden mussten, an einem separaten Port verarbeitet, normalerweise636
. Die gesamte Verbindung würde mit SSL / TLS umschlossen. Dieser als LDAP über SSL bezeichnete Prozess verwendet das Protokollldaps://
. Diese Verschlüsselungsmethode ist jetzt veraltet.
STARTTLS ist eine alternative Methode zur Verschlüsselung einer LDAP-Verbindung. STARTTLS „aktualisiert“ eine unverschlüsselte Verbindung, indem es sie nach / während des Verbindungsprozesses mit SSL / TLS umschließt. Dadurch können unverschlüsselte und verschlüsselte Verbindungen über denselben Port abgewickelt werden. In diesem Handbuch wird STARTTLS zum Verschlüsseln von Verbindungen verwendet.
Festlegen des Hostnamens und des FQDN
Bevor Sie beginnen, sollten wir unseren Server so einrichten, dass sein Hostname und sein vollqualifizierter Domänenname (FQDN) korrekt aufgelöst werden. Dies ist erforderlich, damit unsere Zertifikate vom Kunden validiert werden können. Wir gehen davon aus, dass unser LDAP-Server auf einem Computer mit dem FQDN vonldap.example.com
gehostet wird.
Verwenden Sie den Befehlhostnamectl
mit der Optionset-hostname
, um den Hostnamen an allen relevanten Stellen auf Ihrem Server festzulegen. Setzen Sie den Hostnamen auf den kurzen Hostnamen (ohne die Domain Name-Komponente):
sudo hostnamectl set-hostname ldap
Als nächstes müssen wir den vollqualifizierten Domänennamen unseres Servers festlegen, indem wir sicherstellen, dass unsere/etc/hosts
-Datei die richtigen Informationen enthält:
sudo nano /etc/hosts
Suchen Sie die Zeile, die die IP-Adresse von127.0.1.1
abbildet. Ändern Sie das erste Feld nach der IP-Adresse in den FQDN des Servers und das zweite Feld in den kurzen Hostnamen. In unserem Beispiel würde es ungefähr so aussehen:
/etc/hosts
. . .
127.0.1.1 ldap.example.com ldap
127.0.0.1 localhost
. . .
Speichern und schließen Sie die Datei, wenn Sie fertig sind.
Sie können überprüfen, ob Sie diese Werte richtig konfiguriert haben, indem Sie Folgendes eingeben:
hostname
Dies sollte Ihren kurzen Hostnamen zurückgeben:
Kurzer Hostname
ldap
Überprüfen Sie den FQDN, indem Sie Folgendes eingeben:
hostname -f
Dies sollte den vollqualifizierten Domänennamen zurückgeben:
FQDN-Einstellung
ldap.example.com
Installieren des LDAP-Servers und der GnuTLS-Software
Nachdem Sie sichergestellt haben, dass Ihr Hostname richtig eingestellt ist, können wir die benötigte Software installieren. Wenn Sie OpenLDAP bereits installiert und konfiguriert haben, können Sie den ersten Unterabschnitt überspringen.
Installieren Sie den OpenLDAP-Server
Wenn Sie OpenLDAP noch nicht installiert haben, ist es jetzt an der Zeit, dies zu beheben. Aktualisieren Sie den lokalen Paketindex Ihres Servers und installieren Sie die Software, indem Sie Folgendes eingeben:
sudo apt-get update
sudo apt-get install slapd ldap-utils
Sie werden aufgefordert, ein LDAP-Administratorkennwort anzugeben. Sie können die Eingabeaufforderung jederzeit überspringen, da wir die Konfiguration sofort nach dem Neustart vornehmen.
Um auf einige zusätzliche Eingabeaufforderungen zuzugreifen, die wir benötigen, konfigurieren wir das Paket nach der Installation neu. Geben Sie dazu Folgendes ein:
sudo dpkg-reconfigure slapd
Beantworten Sie die Eingabeaufforderungen entsprechend und verwenden Sie die folgenden Informationen als Ausgangspunkt:
-
OpenLDAP-Serverkonfiguration weglassen? No (wir wollen eine erste Datenbank und Konfiguration)
-
DNS-Domänenname:
example.com
(Verwenden Sie den Domänennamen des Servers abzüglich des Hostnamens. Dies wird verwendet, um den Basiseintrag für den Informationsbaum zu erstellen.) -
Organisationsname:Example Inc (Dieser Name wird einfach als Name Ihrer Organisation zum Basiseintrag hinzugefügt.)
-
Administratorkennwort: [was auch immer Sie möchten]
-
Passwort bestätigen: [muss mit dem obigen übereinstimmen]
-
Zu verwendendes Datenbank-Backend:HDB (von den beiden Auswahlmöglichkeiten hat dies die meisten Funktionen)
-
Soll die Datenbank entfernt werden, wenn slapd gelöscht wird? (deine Entscheidung. Wählen Sie "Ja", um eine vollständig saubere Entfernung zu ermöglichen. Wählen Sie "Nein", um Ihre Daten auch dann zu speichern, wenn die Software entfernt wird.
-
Alte Datenbank verschieben? Yes
-
LDAPv2-Protokoll zulassen? No
Installieren Sie die SSL-Komponenten
Sobald Ihr OpenLDAP-Server konfiguriert ist, können wir die Pakete installieren, mit denen wir unsere Verbindung verschlüsseln. Das Ubuntu OpenLDAP-Paket wird mit den GnuTLS-SSL-Bibliotheken kompiliert, daher werden wir GnuTLS verwenden, um unsere SSL-Anmeldeinformationen zu generieren:
sudo apt-get install gnutls-bin ssl-cert
Wenn alle unsere Tools installiert sind, können wir mit der Erstellung der Zertifikate und Schlüssel beginnen, die zum Verschlüsseln unserer Verbindungen erforderlich sind.
Erstellen Sie die Zertifikatvorlagen
Um unsere Verbindungen zu verschlüsseln, müssen wir eine Zertifizierungsstelle konfigurieren und damit die Schlüssel für die LDAP-Server in unserer Infrastruktur signieren. Für die Einrichtung eines einzelnen Servers benötigen wir zwei Sätze von Schlüssel- / Zertifikatpaaren: einen für die Zertifizierungsstelle selbst und einen für den LDAP-Dienst.
Um die für die Darstellung dieser Entitäten erforderlichen Zertifikate zu erstellen, erstellen wir einige Vorlagendateien. Diese enthalten die Informationen, die das Dienstprogrammcerttool
benötigt, um Zertifikate mit den entsprechenden Eigenschaften zu erstellen.
Erstellen Sie zunächst ein Verzeichnis zum Speichern der Vorlagendateien:
sudo mkdir /etc/ssl/templates
Erstellen Sie die CA-Vorlage
Erstellen Sie zuerst die Vorlage für die Zertifizierungsstelle. Wir nennen die Dateica_server.conf
. Erstellen und öffnen Sie die Datei in Ihrem Texteditor:
sudo nano /etc/ssl/templates/ca_server.conf
Wir müssen nur einige wenige Informationen angeben, um eine Zertifizierungsstelle erfolgreich zu erstellen. Wir müssen angeben, dass das Zertifikat für eine Zertifizierungsstelle (Zertifizierungsstelle) bestimmt ist, indem wir die Optionca
hinzufügen. Wir benötigen auch die Optioncert_signing_key
, um dem generierten Zertifikat die Möglichkeit zu geben, zusätzliche Zertifikate zu signieren. Wir könnencn
auf einen beliebigen beschreibenden Namen setzen, den wir für unsere Zertifizierungsstelle wünschen:
caserver.conf
cn = LDAP Server CA
ca
cert_signing_key
Speichern und schließen Sie die Datei.
Erstellen Sie die LDAP-Dienstvorlage
Als Nächstes können wir eine Vorlage für unser LDAP-Serverzertifikat mit dem Namenldap_server.conf
erstellen. Erstellen und öffnen Sie die Datei in Ihrem Texteditor mit den Berechtigungen vonsudo
:
sudo nano /etc/ssl/templates/ldap_server.conf
Hier stellen wir einige verschiedene Informationen zur Verfügung. Wir geben den Namen unserer Organisation an und legen die Optionentls_www_server
,encryption_key
undsigning_key
fest, damit unser Zertifikat über die grundlegenden Funktionen verfügt, die es benötigt.
Diecn
in dieser Vorlagemust stimmen mit dem vollqualifizierten Domänennamen des LDAP-Servers überein. Wenn dieser Wert nicht übereinstimmt, lehnt der Client das Serverzertifikat ab. Wir werden auch das Ablaufdatum für das Zertifikat festlegen. Wir erstellen ein 10-Jahres-Zertifikat, um häufige Verlängerungen zu vermeiden:
ldapserver.conf
organization = "Example Inc"
cn = ldap.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 3652
Speichern und schließen Sie die Datei, wenn Sie fertig sind.
CA-Schlüssel und Zertifikat erstellen
Nachdem wir unsere Vorlagen haben, können wir unsere beiden Schlüssel / Zertifikat-Paare erstellen. Zuerst müssen wir den Satz der Zertifizierungsstelle erstellen.
Verwenden Sie das Dienstprogrammcerttool
, um einen privaten Schlüssel zu generieren. Das Verzeichnis/etc/ssl/private
ist vor Nicht-Root-Benutzern geschützt und der geeignete Speicherort für die privaten Schlüssel, die wir generieren werden. Wir können einen privaten Schlüssel generieren und ihn in eine Datei namensca_server.key
in diesem Verzeichnis schreiben, indem wir Folgendes eingeben:
sudo certtool -p --outfile /etc/ssl/private/ca_server.key
Jetzt können wir den soeben generierten privaten Schlüssel und die Vorlagendatei verwenden, die wir im letzten Abschnitt erstellt haben, um das Zertifikat der Zertifizierungsstelle zu erstellen. Wir werden dies in eine Datei im Verzeichnis/etc/ssl/certs
mit dem Namenca_server.pem
schreiben:
sudo certtool -s --load-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ca_server.conf --outfile /etc/ssl/certs/ca_server.pem
Wir haben jetzt das Paar aus privatem Schlüssel und Zertifikat für unsere Zertifizierungsstelle. Damit können wir den Schlüssel signieren, mit dem die LDAP-Sitzung tatsächlich verschlüsselt wird.
Erstellen Sie einen LDAP-Dienstschlüssel und ein Zertifikat
Als Nächstes müssen wir einen privaten Schlüssel für unseren LDAP-Server generieren. Wir werden den generierten Schlüssel aus Sicherheitsgründen erneut in das Verzeichnis/etc/ssl/private
stellen und aus Gründen der Übersichtlichkeit die Dateildap_server.key
aufrufen.
Wir können den entsprechenden Schlüssel generieren, indem wir Folgendes eingeben:
sudo certtool -p --sec-param high --outfile /etc/ssl/private/ldap_server.key
Sobald wir den privaten Schlüssel für den LDAP-Server haben, haben wir alles, was wir brauchen, um ein Zertifikat für den Server zu generieren. Wir müssen fast alle bisher erstellten Komponenten (das CA-Zertifikat und den Schlüssel, den LDAP-Serverschlüssel und die LDAP-Servervorlage) abrufen.
Wir werden das Zertifikat in das Verzeichnis/etc/ssl/certs
legen und esldap_server.pem
nennen. Der Befehl, den wir brauchen, ist:
sudo certtool -c --load-privkey /etc/ssl/private/ldap_server.key --load-ca-certificate /etc/ssl/certs/ca_server.pem --load-ca-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ldap_server.conf --outfile /etc/ssl/certs/ldap_server.pem
Geben Sie OpenLDAP Zugriff auf den LDAP-Serverschlüssel
Wir haben jetzt alle Zertifikate und Schlüssel, die wir brauchen. Derzeit kann unser OpenLDAP-Prozess jedoch nicht auf seinen eigenen Schlüssel zugreifen.
Eine Gruppe mit dem Namenssl-cert
existiert bereits als Gruppeneigentümer des Verzeichnisses/etc/ssl/private
. Wir können den Benutzer, den unser OpenLDAP-Prozess unter (openldap
) ausführt, zu dieser Gruppe hinzufügen:
sudo usermod -aG ssl-cert openldap
Jetzt hat unser OpenLDAP-Benutzer Zugriff auf das Verzeichnis. Wir müssen dieser Gruppe jedoch weiterhin den Besitz derldap_server.key
-Datei erteilen, damit wir den Lesezugriff zulassen können. Geben Sie den Gruppenbesitz vonssl-cert
für diese Datei ein, indem Sie Folgendes eingeben:
sudo chown :ssl-cert /etc/ssl/private/ldap_server.key
Geben Sie nun der Gruppessl-cert
Lesezugriff auf die Datei:
sudo chmod 640 /etc/ssl/private/ldap_server.key
Unser OpenSSL-Prozess kann nun ordnungsgemäß auf die Schlüsseldatei zugreifen.
Konfigurieren Sie OpenLDAP für die Verwendung des Zertifikats und der Schlüssel
Wir haben unsere Dateien und haben den Zugriff auf die Komponenten korrekt konfiguriert. Jetzt müssen wir unsere OpenLDAP-Konfiguration ändern, um die von uns erstellten Dateien zu verwenden. Dazu erstellen wir eine LDIF-Datei mit unseren Konfigurationsänderungen und laden sie in unsere LDAP-Instanz.
Wechseln Sie in Ihr Home-Verzeichnis und öffnen Sie eine Datei mit dem Namenaddcerts.ldif
. Wir werden unsere Konfigurationsänderungen in diese Datei schreiben:
cd ~
nano addcerts.ldif
Um Konfigurationsänderungen vorzunehmen, müssen wir dencn=config
-Eintrag des Konfigurations-DIT als Ziel festlegen. Wir müssen angeben, dass wir die Attribute des Eintrags ändern möchten. Danach müssen wir die AttributeolcTLSCACertificateFile
,olcCertificateFile
undolcCertificateKeyFile
hinzufügen und sie auf die richtigen Dateispeicherorte setzen.
Das Endergebnis wird so aussehen:
addcerts.ldif
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key
Speichern und schließen Sie die Datei, wenn Sie fertig sind. Übernehmen Sie die Änderungen mit dem Befehlldapmodify
auf Ihr OpenLDAP-System:
sudo ldapmodify -H ldapi:// -Y EXTERNAL -f addcerts.ldif
Wir können OpenLDAP neu laden, um die Änderungen zu übernehmen:
sudo service slapd force-reload
Unsere Clients können jetzt ihre Verbindungen zum Server über den herkömmlichenldap://
-Port mit STARTTLS verschlüsseln.
Einrichten der Client-Computer
Um eine Verbindung zum LDAP-Server herzustellen und ein STARTTLS-Upgrade zu initiieren, müssen die Clients Zugriff auf das Zertifikat der Zertifizierungsstelle haben und das Upgrade anfordern.
Auf dem OpenLDAP-Server
Wenn Sie vom Server aus mit dem OpenLDAP-Server interagieren, können Sie die Client-Dienstprogramme einrichten, indem Sie das CA-Zertifikat kopieren und die Client-Konfigurationsdatei anpassen.
Kopieren Sie zunächst das CA-Zertifikat aus dem Verzeichnis/etc/ssl/certs
in eine Datei im Verzeichnis/etc/ldap
. Wir werden diese Dateica_certs.pem
nennen. In dieser Datei können alle CA-Zertifikate gespeichert werden, auf die Clients auf diesem Computer möglicherweise zugreifen möchten. Für unsere Zwecke enthält dies nur ein einziges Zertifikat:
sudo cp /etc/ssl/certs/ca_server.pem /etc/ldap/ca_certs.pem
Jetzt können wir die systemweite Konfigurationsdatei für die OpenLDAP-Dienstprogramme anpassen. Öffnen Sie die Konfigurationsdatei in Ihrem Texteditor mit den Berechtigungen vonsudo
:
sudo nano /etc/ldap/ldap.conf
Passen Sie den Wert der OptionTLS_CACERT
an, um auf die gerade erstellte Datei zu verweisen:
/etc/ldap/ldap.conf
. . .
TLS_CACERT /etc/ldap/ca_certs.pem
. . .
Speichern und schließen Sie die Datei.
Sie sollten nun in der Lage sein, Ihre Verbindungen für die Verwendung von STARTTLS zu aktualisieren, indem Sie bei Verwendung der OpenLDAP-Dienstprogramme die Option-Z
übergeben. Sie können das STARTTLS-Upgrade erzwingen, indem Sie es zweimal übergeben. Testen Sie dies, indem Sie Folgendes eingeben:
ldapwhoami -H ldap:// -x -ZZ
Dies erzwingt ein STARTTLS-Upgrade. Wenn dies erfolgreich ist, sollten Sie sehen:
STARTTLS Erfolg
anonymous
Wenn Sie etwas falsch konfiguriert haben, wird wahrscheinlich der folgende Fehler angezeigt:
STARTTLS-Fehler
ldap_start_tls: Connect error (-11)
additional info: (unknown error code)
Remote-Clients konfigurieren
Wenn Sie von Remoteservern aus eine Verbindung zu Ihrem OpenLDAP-Server herstellen, müssen Sie einen ähnlichen Vorgang ausführen. Zunächst müssen Sie das CA-Zertifikat auf den Clientcomputer kopieren. Sie können dies einfach mit dem Dienstprogrammscp
tun.
Weiterleiten von SSH-Schlüsseln an den Client
Wenn Sie mit SSH-Schlüsseln eine Verbindung zu Ihrem OpenLDAP-Server herstellen und Ihr Client-Computer auch remote ist, müssen Sie diese einem Agenten hinzufügen und sie weiterleiten, wenn Sie eine Verbindung zu Ihrem Client-Computer herstellen.
Starten Sie dazu auf Ihrem lokalen Computer den SSH-Agenten, indem Sie Folgendes eingeben:
eval $(ssh-agent)
Fügen Sie dem Agenten Ihren SSH-Schlüssel hinzu, indem Sie Folgendes eingeben:
ssh-add
Jetzt können Sie Ihre SSH-Schlüssel weiterleiten, wenn Sie eine Verbindung zu Ihrem LDAP-Client-Computer herstellen, indem Sie das Flag-A
hinzufügen:
ssh -A user@ldap_client
CA-Zertifikat kopieren
Sobald Sie mit dem OpenLDAP-Client verbunden sind, können Sie das CA-Zertifikat kopieren, indem Sie Folgendes eingeben:
scp [email protected]:/etc/ssl/certs/ca_server.pem ~/
Hängen Sie nun das kopierte Zertifikat an die Liste der CA-Zertifikate an, die dem Client bekannt sind. Dadurch wird das Zertifikat an die Datei angehängt, sofern sie bereits vorhanden ist. Wenn dies nicht der Fall ist, wird die Datei erstellt.
cat ~/ca_server.pem | sudo tee -a /etc/ldap/ca_certs.pem
Passen Sie die Client-Konfiguration an
Als Nächstes können wir die globale Konfigurationsdatei für die LDAP-Dienstprogramme so anpassen, dass sie auf die Dateica_certs.pem
verweist. Öffnen Sie die Datei mit den Berechtigungen vonsudo
:
sudo nano /etc/ldap/ldap.conf
Suchen Sie die OptionTLS_CACERT
und setzen Sie sie auf die Dateica_certs.pem
:
/etc/ldap/ldap.conf
. . .
TLS_CACERT /etc/ldap/ca_certs.pem
. . .
Speichern und schließen Sie die Datei, wenn Sie fertig sind.
Testen Sie das STARTTLS-Upgrade, indem Sie Folgendes eingeben:
ldapwhoami -H ldap://ldap.example.com -x -ZZ
Wenn das STARTTLS-Upgrade erfolgreich ist, sollte Folgendes angezeigt werden:
STARTTLS Erfolg
anonymous
Verbindungen zur Verwendung von TLS zwingen (optional)
Wir haben unseren OpenLDAP-Server erfolgreich so konfiguriert, dass normale LDAP-Verbindungen über den STARTTLS-Prozess nahtlos auf TLS aktualisiert werden können. Dies ermöglicht jedoch weiterhin unverschlüsselte Sitzungen, die möglicherweise nicht Ihren Wünschen entsprechen.
Wenn Sie STARTTLS-Upgrades für jede Verbindung erzwingen möchten, können Sie die Einstellungen Ihres Servers anpassen. Wir werden diese Anforderung nur auf die reguläre DIT anwenden, nicht auf die Konfigurations-DIT, auf die unter dem Eintragcn=config
zugegriffen werden kann.
Zuerst müssen Sie den entsprechenden Eintrag zum Ändern finden. Wir drucken eine Liste aller DITs (Verzeichnisinformationsbäume: Hierarchien von Einträgen, die ein LDAP-Server verarbeitet), zu denen der OpenLDAP-Server Informationen enthält, sowie den Eintrag, der die einzelnen DITs konfiguriert.
Geben Sie auf Ihrem OpenLDAP-Server Folgendes ein:
sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "(olcSuffix=*)" dn olcSuffix
Die Antwort sollte ungefähr so aussehen:
Von OpenLDAP bereitgestellte DITs
dn: olcDatabase={1}hdb,cn=config
olcSuffix: dc=example,dc=com
Möglicherweise verfügen Sie über mehrere DIT- und Datenbankpaare, wenn Ihr Server für die Verarbeitung mehrerer DITs konfiguriert ist. Hier haben wir eine einzelne DIT mit dem Basiseintragdc=example,dc=com
, der für eine Domäne vonexample.com
erstellt wird. Die Konfiguration dieses DIT wird vom EintragolcDatabase={1}hdb,cn=config
übernommen. Notieren Sie sich die DNs der DITs, für die Sie die Verschlüsselung erzwingen möchten.
Wir werden eine LDIF-Datei verwenden, um die Änderungen vorzunehmen. Erstellen Sie die LDIF-Datei in Ihrem Ausgangsverzeichnis. Wir werden esforcetls.ldif
nennen:
nano ~/forcetls.ldif
Wählen Sie im Inneren den DN aus, für den Sie TLS erzwingen möchten. In unserem Fall ist diesdn: olcDatabase={1}hdb,cn=config
. Wir setzen diechangetype
auf "modifizieren" und fügen das AttributolcSecurity
hinzu. Setzen Sie den Wert des Attributs auf "tls = 1", um TLS für diese DIT zu erzwingen:
forcetls.ldif
dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1
Speichern und schließen Sie die Datei, wenn Sie fertig sind.
Um die Änderung zu übernehmen, geben Sie Folgendes ein:
sudo ldapmodify -H ldapi:// -Y EXTERNAL -f forcetls.ldif
Laden Sie den OpenLDAP-Dienst neu, indem Sie Folgendes eingeben:
sudo service slapd force-reload
Wenn Sie nun die DIT vondc=example,dc=com
durchsuchen, werden Sie abgelehnt, wenn Sie die Option-Z
nicht verwenden, um ein STARTTLS-Upgrade zu starten:
ldapsearch -H ldap:// -x -b "dc=example,dc=com" -LLL dn
TLS-Fehler erforderlich
Confidentiality required (13)
Additional information: TLS confidentiality required
Wir können zeigen, dass STARTTLS-Verbindungen immer noch korrekt funktionieren:
ldapsearch -H ldap:// -x -b "dc=example,dc=com" -LLL -Z dn
TLS erforderte Erfolg
dn: dc=example,dc=com
dn: cn=admin,dc=example,dc=com
Fazit
Sie sollten jetzt einen OpenLDAP-Server mit STARTTLS-Verschlüsselung konfigurieren. Wenn Sie Ihre Verbindung zum OpenLDAP-Server mit TLS verschlüsseln, können Sie die Identität des Servers überprüfen, mit dem Sie eine Verbindung herstellen. Es schirmt auch Ihren Verkehr von Zwischenparteien ab. Wenn Sie eine Verbindung über ein offenes Netzwerk herstellen, ist die Verschlüsselung Ihres Datenverkehrs unerlässlich.