TOC

So verschlüsseln Sie OpenLDAP-Verbindungen mit STARTTLS

Einführung

OpenLDAP bietet einen LDAP-Verzeichnisdienst, der flexibel und gut unterstützt wird. Der Server selbst kommuniziert jedoch über eine unverschlüsselte Webverbindung. In diesem Handbuch wird gezeigt, wie Verbindungen zu OpenLDAP mit STARTTLS verschlüsselt werden, um herkömmliche Verbindungen zu TLS zu aktualisieren. Wir werden Ubuntu 14.04 als LDAP-Server verwenden.

Voraussetzungen

Bevor Sie mit diesem Handbuch beginnen, sollten Sie einen Nicht-Root-Benutzer mitsudo auf Ihrem Server eingerichtet haben. Befolgen Sie unsereUbuntu 14.04 initial setup guide, um einen Benutzer dieses Typs einzurichten.

In diesem Handbuch erfahren Sie, wie Sie OpenLDAP auf einem Ubuntu 14.04-Server installieren. Wenn Sie OpenLDAP bereits auf Ihrem Server installiert haben, können Sie die entsprechenden Installations- und Konfigurationsschritte überspringen.

LDAP über SSL vs LDAP mit STARTTLS

Es gibt zwei Möglichkeiten, LDAP-Verbindungen mit SSL / TLS zu verschlüsseln.

Traditionell wurden LDAP-Verbindungen, die verschlüsselt werden mussten, an einem separaten Port verarbeitet, normalerweise636. Die gesamte Verbindung würde mit SSL / TLS umschlossen. Dieser als LDAP über SSL bezeichnete Prozess verwendet das Protokollldaps://. Diese Verschlüsselungsmethode ist jetzt veraltet.

STARTTLS ist eine alternative Methode zur Verschlüsselung einer LDAP-Verbindung. STARTTLS „aktualisiert“ eine unverschlüsselte Verbindung, indem es sie nach / während des Verbindungsprozesses mit SSL / TLS umschließt. Dadurch können unverschlüsselte und verschlüsselte Verbindungen über denselben Port abgewickelt werden. In diesem Handbuch wird STARTTLS zum Verschlüsseln von Verbindungen verwendet.

Festlegen des Hostnamens und des FQDN

Bevor Sie beginnen, sollten wir unseren Server so einrichten, dass sein Hostname und sein vollqualifizierter Domänenname (FQDN) korrekt aufgelöst werden. Dies ist erforderlich, damit unsere Zertifikate vom Kunden validiert werden können. Wir gehen davon aus, dass unser LDAP-Server auf einem Computer mit dem FQDN vonldap.example.com gehostet wird.

Verwenden Sie den Befehlhostnamectl mit der Optionset-hostname, um den Hostnamen an allen relevanten Stellen auf Ihrem Server festzulegen. Setzen Sie den Hostnamen auf den kurzen Hostnamen (ohne die Domain Name-Komponente): 

sudo hostnamectl set-hostname ldap

Als nächstes müssen wir den vollqualifizierten Domänennamen unseres Servers festlegen, indem wir sicherstellen, dass unsere/etc/hosts-Datei die richtigen Informationen enthält: 

sudo nano /etc/hosts

Suchen Sie die Zeile, die die IP-Adresse von127.0.1.1abbildet. Ändern Sie das erste Feld nach der IP-Adresse in den FQDN des Servers und das zweite Feld in den kurzen Hostnamen. In unserem Beispiel würde es ungefähr so ​​aussehen:

/etc/hosts

. . .

127.0.1.1 ldap.example.com ldap
127.0.0.1 localhost

. . .

Speichern und schließen Sie die Datei, wenn Sie fertig sind.

Sie können überprüfen, ob Sie diese Werte richtig konfiguriert haben, indem Sie Folgendes eingeben: 

hostname

Dies sollte Ihren kurzen Hostnamen zurückgeben:

Kurzer Hostname 

ldap

Überprüfen Sie den FQDN, indem Sie Folgendes eingeben: 

hostname -f

Dies sollte den vollqualifizierten Domänennamen zurückgeben:

FQDN-Einstellung 

ldap.example.com

Installieren des LDAP-Servers und der GnuTLS-Software

Nachdem Sie sichergestellt haben, dass Ihr Hostname richtig eingestellt ist, können wir die benötigte Software installieren. Wenn Sie OpenLDAP bereits installiert und konfiguriert haben, können Sie den ersten Unterabschnitt überspringen.

Installieren Sie den OpenLDAP-Server

Wenn Sie OpenLDAP noch nicht installiert haben, ist es jetzt an der Zeit, dies zu beheben. Aktualisieren Sie den lokalen Paketindex Ihres Servers und installieren Sie die Software, indem Sie Folgendes eingeben: 

sudo apt-get update
sudo apt-get install slapd ldap-utils

Sie werden aufgefordert, ein LDAP-Administratorkennwort anzugeben. Sie können die Eingabeaufforderung jederzeit überspringen, da wir die Konfiguration sofort nach dem Neustart vornehmen.

Um auf einige zusätzliche Eingabeaufforderungen zuzugreifen, die wir benötigen, konfigurieren wir das Paket nach der Installation neu. Geben Sie dazu Folgendes ein: 

sudo dpkg-reconfigure slapd

Beantworten Sie die Eingabeaufforderungen entsprechend und verwenden Sie die folgenden Informationen als Ausgangspunkt:

  • OpenLDAP-Serverkonfiguration weglassen? No (wir wollen eine erste Datenbank und Konfiguration)

  • DNS-Domänenname:example.com (Verwenden Sie den Domänennamen des Servers abzüglich des Hostnamens. Dies wird verwendet, um den Basiseintrag für den Informationsbaum zu erstellen.)

  • Organisationsname:Example Inc (Dieser Name wird einfach als Name Ihrer Organisation zum Basiseintrag hinzugefügt.)

  • Administratorkennwort: [was auch immer Sie möchten]

  • Passwort bestätigen: [muss mit dem obigen übereinstimmen]

  • Zu verwendendes Datenbank-Backend:HDB (von den beiden Auswahlmöglichkeiten hat dies die meisten Funktionen)

  • Soll die Datenbank entfernt werden, wenn slapd gelöscht wird? (deine Entscheidung. Wählen Sie "Ja", um eine vollständig saubere Entfernung zu ermöglichen. Wählen Sie "Nein", um Ihre Daten auch dann zu speichern, wenn die Software entfernt wird.

  • Alte Datenbank verschieben? Yes

  • LDAPv2-Protokoll zulassen? No

Installieren Sie die SSL-Komponenten

Sobald Ihr OpenLDAP-Server konfiguriert ist, können wir die Pakete installieren, mit denen wir unsere Verbindung verschlüsseln. Das Ubuntu OpenLDAP-Paket wird mit den GnuTLS-SSL-Bibliotheken kompiliert, daher werden wir GnuTLS verwenden, um unsere SSL-Anmeldeinformationen zu generieren: 

sudo apt-get install gnutls-bin ssl-cert

Wenn alle unsere Tools installiert sind, können wir mit der Erstellung der Zertifikate und Schlüssel beginnen, die zum Verschlüsseln unserer Verbindungen erforderlich sind.

Erstellen Sie die Zertifikatvorlagen

Um unsere Verbindungen zu verschlüsseln, müssen wir eine Zertifizierungsstelle konfigurieren und damit die Schlüssel für die LDAP-Server in unserer Infrastruktur signieren. Für die Einrichtung eines einzelnen Servers benötigen wir zwei Sätze von Schlüssel- / Zertifikatpaaren: einen für die Zertifizierungsstelle selbst und einen für den LDAP-Dienst.

Um die für die Darstellung dieser Entitäten erforderlichen Zertifikate zu erstellen, erstellen wir einige Vorlagendateien. Diese enthalten die Informationen, die das Dienstprogrammcerttoolbenötigt, um Zertifikate mit den entsprechenden Eigenschaften zu erstellen.

Erstellen Sie zunächst ein Verzeichnis zum Speichern der Vorlagendateien: 

sudo mkdir /etc/ssl/templates

Erstellen Sie die CA-Vorlage

Erstellen Sie zuerst die Vorlage für die Zertifizierungsstelle. Wir nennen die Dateica_server.conf. Erstellen und öffnen Sie die Datei in Ihrem Texteditor: 

sudo nano /etc/ssl/templates/ca_server.conf

Wir müssen nur einige wenige Informationen angeben, um eine Zertifizierungsstelle erfolgreich zu erstellen. Wir müssen angeben, dass das Zertifikat für eine Zertifizierungsstelle (Zertifizierungsstelle) bestimmt ist, indem wir die Optioncahinzufügen. Wir benötigen auch die Optioncert_signing_key, um dem generierten Zertifikat die Möglichkeit zu geben, zusätzliche Zertifikate zu signieren. Wir könnencnauf einen beliebigen beschreibenden Namen setzen, den wir für unsere Zertifizierungsstelle wünschen:

caserver.conf

cn = LDAP Server CA
ca
cert_signing_key

Speichern und schließen Sie die Datei.

Erstellen Sie die LDAP-Dienstvorlage

Als Nächstes können wir eine Vorlage für unser LDAP-Serverzertifikat mit dem Namenldap_server.conf erstellen. Erstellen und öffnen Sie die Datei in Ihrem Texteditor mit den Berechtigungen vonsudo: 

sudo nano /etc/ssl/templates/ldap_server.conf

Hier stellen wir einige verschiedene Informationen zur Verfügung. Wir geben den Namen unserer Organisation an und legen die Optionentls_www_server,encryption_key undsigning_key fest, damit unser Zertifikat über die grundlegenden Funktionen verfügt, die es benötigt.

Diecn in dieser Vorlagemust stimmen mit dem vollqualifizierten Domänennamen des LDAP-Servers überein. Wenn dieser Wert nicht übereinstimmt, lehnt der Client das Serverzertifikat ab. Wir werden auch das Ablaufdatum für das Zertifikat festlegen. Wir erstellen ein 10-Jahres-Zertifikat, um häufige Verlängerungen zu vermeiden:

ldapserver.conf

organization = "Example Inc"
cn = ldap.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 3652

Speichern und schließen Sie die Datei, wenn Sie fertig sind.

CA-Schlüssel und Zertifikat erstellen

Nachdem wir unsere Vorlagen haben, können wir unsere beiden Schlüssel / Zertifikat-Paare erstellen. Zuerst müssen wir den Satz der Zertifizierungsstelle erstellen.

Verwenden Sie das Dienstprogrammcerttool, um einen privaten Schlüssel zu generieren. Das Verzeichnis/etc/ssl/private ist vor Nicht-Root-Benutzern geschützt und der geeignete Speicherort für die privaten Schlüssel, die wir generieren werden. Wir können einen privaten Schlüssel generieren und ihn in eine Datei namensca_server.key in diesem Verzeichnis schreiben, indem wir Folgendes eingeben: 

sudo certtool -p --outfile /etc/ssl/private/ca_server.key

Jetzt können wir den soeben generierten privaten Schlüssel und die Vorlagendatei verwenden, die wir im letzten Abschnitt erstellt haben, um das Zertifikat der Zertifizierungsstelle zu erstellen. Wir werden dies in eine Datei im Verzeichnis/etc/ssl/certs mit dem Namenca_server.pem schreiben: 

sudo certtool -s --load-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ca_server.conf --outfile /etc/ssl/certs/ca_server.pem

Wir haben jetzt das Paar aus privatem Schlüssel und Zertifikat für unsere Zertifizierungsstelle. Damit können wir den Schlüssel signieren, mit dem die LDAP-Sitzung tatsächlich verschlüsselt wird.

Erstellen Sie einen LDAP-Dienstschlüssel und ein Zertifikat

Als Nächstes müssen wir einen privaten Schlüssel für unseren LDAP-Server generieren. Wir werden den generierten Schlüssel aus Sicherheitsgründen erneut in das Verzeichnis/etc/ssl/private stellen und aus Gründen der Übersichtlichkeit die Dateildap_server.key aufrufen.

Wir können den entsprechenden Schlüssel generieren, indem wir Folgendes eingeben: 

sudo certtool -p --sec-param high --outfile /etc/ssl/private/ldap_server.key

Sobald wir den privaten Schlüssel für den LDAP-Server haben, haben wir alles, was wir brauchen, um ein Zertifikat für den Server zu generieren. Wir müssen fast alle bisher erstellten Komponenten (das CA-Zertifikat und den Schlüssel, den LDAP-Serverschlüssel und die LDAP-Servervorlage) abrufen.

Wir werden das Zertifikat in das Verzeichnis/etc/ssl/certs legen und esldap_server.pem nennen. Der Befehl, den wir brauchen, ist: 

sudo certtool -c --load-privkey /etc/ssl/private/ldap_server.key --load-ca-certificate /etc/ssl/certs/ca_server.pem --load-ca-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ldap_server.conf --outfile /etc/ssl/certs/ldap_server.pem

Geben Sie OpenLDAP Zugriff auf den LDAP-Serverschlüssel

Wir haben jetzt alle Zertifikate und Schlüssel, die wir brauchen. Derzeit kann unser OpenLDAP-Prozess jedoch nicht auf seinen eigenen Schlüssel zugreifen.

Eine Gruppe mit dem Namenssl-cert existiert bereits als Gruppeneigentümer des Verzeichnisses/etc/ssl/private. Wir können den Benutzer, den unser OpenLDAP-Prozess unter (openldap) ausführt, zu dieser Gruppe hinzufügen: 

sudo usermod -aG ssl-cert openldap

Jetzt hat unser OpenLDAP-Benutzer Zugriff auf das Verzeichnis. Wir müssen dieser Gruppe jedoch weiterhin den Besitz derldap_server.key-Datei erteilen, damit wir den Lesezugriff zulassen können. Geben Sie den Gruppenbesitz vonssl-certfür diese Datei ein, indem Sie Folgendes eingeben: 

sudo chown :ssl-cert /etc/ssl/private/ldap_server.key

Geben Sie nun der Gruppessl-certLesezugriff auf die Datei: 

sudo chmod 640 /etc/ssl/private/ldap_server.key

Unser OpenSSL-Prozess kann nun ordnungsgemäß auf die Schlüsseldatei zugreifen.

Konfigurieren Sie OpenLDAP für die Verwendung des Zertifikats und der Schlüssel

Wir haben unsere Dateien und haben den Zugriff auf die Komponenten korrekt konfiguriert. Jetzt müssen wir unsere OpenLDAP-Konfiguration ändern, um die von uns erstellten Dateien zu verwenden. Dazu erstellen wir eine LDIF-Datei mit unseren Konfigurationsänderungen und laden sie in unsere LDAP-Instanz.

Wechseln Sie in Ihr Home-Verzeichnis und öffnen Sie eine Datei mit dem Namenaddcerts.ldif. Wir werden unsere Konfigurationsänderungen in diese Datei schreiben: 

cd ~
nano addcerts.ldif

Um Konfigurationsänderungen vorzunehmen, müssen wir dencn=config-Eintrag des Konfigurations-DIT als Ziel festlegen. Wir müssen angeben, dass wir die Attribute des Eintrags ändern möchten. Danach müssen wir die AttributeolcTLSCACertificateFile,olcCertificateFile undolcCertificateKeyFilehinzufügen und sie auf die richtigen Dateispeicherorte setzen.

Das Endergebnis wird so aussehen:

addcerts.ldif

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key

Speichern und schließen Sie die Datei, wenn Sie fertig sind. Übernehmen Sie die Änderungen mit dem Befehlldapmodify auf Ihr OpenLDAP-System: 

sudo ldapmodify -H ldapi:// -Y EXTERNAL -f addcerts.ldif

Wir können OpenLDAP neu laden, um die Änderungen zu übernehmen: 

sudo service slapd force-reload

Unsere Clients können jetzt ihre Verbindungen zum Server über den herkömmlichenldap://-Port mit STARTTLS verschlüsseln.

Einrichten der Client-Computer

Um eine Verbindung zum LDAP-Server herzustellen und ein STARTTLS-Upgrade zu initiieren, müssen die Clients Zugriff auf das Zertifikat der Zertifizierungsstelle haben und das Upgrade anfordern.

Auf dem OpenLDAP-Server

Wenn Sie vom Server aus mit dem OpenLDAP-Server interagieren, können Sie die Client-Dienstprogramme einrichten, indem Sie das CA-Zertifikat kopieren und die Client-Konfigurationsdatei anpassen.

Kopieren Sie zunächst das CA-Zertifikat aus dem Verzeichnis/etc/ssl/certsin eine Datei im Verzeichnis/etc/ldap. Wir werden diese Dateica_certs.pem nennen. In dieser Datei können alle CA-Zertifikate gespeichert werden, auf die Clients auf diesem Computer möglicherweise zugreifen möchten. Für unsere Zwecke enthält dies nur ein einziges Zertifikat: 

sudo cp /etc/ssl/certs/ca_server.pem /etc/ldap/ca_certs.pem

Jetzt können wir die systemweite Konfigurationsdatei für die OpenLDAP-Dienstprogramme anpassen. Öffnen Sie die Konfigurationsdatei in Ihrem Texteditor mit den Berechtigungen vonsudo: 

sudo nano /etc/ldap/ldap.conf

Passen Sie den Wert der OptionTLS_CACERTan, um auf die gerade erstellte Datei zu verweisen:

/etc/ldap/ldap.conf

. . .

TLS_CACERT /etc/ldap/ca_certs.pem

. . .

Speichern und schließen Sie die Datei.

Sie sollten nun in der Lage sein, Ihre Verbindungen für die Verwendung von STARTTLS zu aktualisieren, indem Sie bei Verwendung der OpenLDAP-Dienstprogramme die Option-Z übergeben. Sie können das STARTTLS-Upgrade erzwingen, indem Sie es zweimal übergeben. Testen Sie dies, indem Sie Folgendes eingeben: 

ldapwhoami -H ldap:// -x -ZZ

Dies erzwingt ein STARTTLS-Upgrade. Wenn dies erfolgreich ist, sollten Sie sehen:

STARTTLS Erfolg 

anonymous

Wenn Sie etwas falsch konfiguriert haben, wird wahrscheinlich der folgende Fehler angezeigt:

STARTTLS-Fehler 

ldap_start_tls: Connect error (-11)
    additional info: (unknown error code)

Remote-Clients konfigurieren

Wenn Sie von Remoteservern aus eine Verbindung zu Ihrem OpenLDAP-Server herstellen, müssen Sie einen ähnlichen Vorgang ausführen. Zunächst müssen Sie das CA-Zertifikat auf den Clientcomputer kopieren. Sie können dies einfach mit dem Dienstprogrammscptun.

Weiterleiten von SSH-Schlüsseln an den Client

Wenn Sie mit SSH-Schlüsseln eine Verbindung zu Ihrem OpenLDAP-Server herstellen und Ihr Client-Computer auch remote ist, müssen Sie diese einem Agenten hinzufügen und sie weiterleiten, wenn Sie eine Verbindung zu Ihrem Client-Computer herstellen.

Starten Sie dazu auf Ihrem lokalen Computer den SSH-Agenten, indem Sie Folgendes eingeben: 

eval $(ssh-agent)

Fügen Sie dem Agenten Ihren SSH-Schlüssel hinzu, indem Sie Folgendes eingeben: 

ssh-add

Jetzt können Sie Ihre SSH-Schlüssel weiterleiten, wenn Sie eine Verbindung zu Ihrem LDAP-Client-Computer herstellen, indem Sie das Flag-Ahinzufügen: 

ssh -A user@ldap_client

CA-Zertifikat kopieren

Sobald Sie mit dem OpenLDAP-Client verbunden sind, können Sie das CA-Zertifikat kopieren, indem Sie Folgendes eingeben: 

scp [email protected]:/etc/ssl/certs/ca_server.pem ~/

Hängen Sie nun das kopierte Zertifikat an die Liste der CA-Zertifikate an, die dem Client bekannt sind. Dadurch wird das Zertifikat an die Datei angehängt, sofern sie bereits vorhanden ist. Wenn dies nicht der Fall ist, wird die Datei erstellt. 

cat ~/ca_server.pem | sudo tee -a /etc/ldap/ca_certs.pem

Passen Sie die Client-Konfiguration an

Als Nächstes können wir die globale Konfigurationsdatei für die LDAP-Dienstprogramme so anpassen, dass sie auf die Dateica_certs.pemverweist. Öffnen Sie die Datei mit den Berechtigungen vonsudo: 

sudo nano /etc/ldap/ldap.conf

Suchen Sie die OptionTLS_CACERT und setzen Sie sie auf die Dateica_certs.pem:

/etc/ldap/ldap.conf

. . .

TLS_CACERT /etc/ldap/ca_certs.pem

. . .

Speichern und schließen Sie die Datei, wenn Sie fertig sind.

Testen Sie das STARTTLS-Upgrade, indem Sie Folgendes eingeben: 

ldapwhoami -H ldap://ldap.example.com -x -ZZ

Wenn das STARTTLS-Upgrade erfolgreich ist, sollte Folgendes angezeigt werden:

STARTTLS Erfolg 

anonymous

Verbindungen zur Verwendung von TLS zwingen (optional)

Wir haben unseren OpenLDAP-Server erfolgreich so konfiguriert, dass normale LDAP-Verbindungen über den STARTTLS-Prozess nahtlos auf TLS aktualisiert werden können. Dies ermöglicht jedoch weiterhin unverschlüsselte Sitzungen, die möglicherweise nicht Ihren Wünschen entsprechen.

Wenn Sie STARTTLS-Upgrades für jede Verbindung erzwingen möchten, können Sie die Einstellungen Ihres Servers anpassen. Wir werden diese Anforderung nur auf die reguläre DIT anwenden, nicht auf die Konfigurations-DIT, auf die unter dem Eintragcn=configzugegriffen werden kann.

Zuerst müssen Sie den entsprechenden Eintrag zum Ändern finden. Wir drucken eine Liste aller DITs (Verzeichnisinformationsbäume: Hierarchien von Einträgen, die ein LDAP-Server verarbeitet), zu denen der OpenLDAP-Server Informationen enthält, sowie den Eintrag, der die einzelnen DITs konfiguriert.

Geben Sie auf Ihrem OpenLDAP-Server Folgendes ein: 

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "(olcSuffix=*)" dn olcSuffix

Die Antwort sollte ungefähr so ​​aussehen:

Von OpenLDAP bereitgestellte DITs 

dn: olcDatabase={1}hdb,cn=config
olcSuffix: dc=example,dc=com

Möglicherweise verfügen Sie über mehrere DIT- und Datenbankpaare, wenn Ihr Server für die Verarbeitung mehrerer DITs konfiguriert ist. Hier haben wir eine einzelne DIT mit dem Basiseintragdc=example,dc=com, der für eine Domäne vonexample.com erstellt wird. Die Konfiguration dieses DIT wird vom EintragolcDatabase={1}hdb,cn=configübernommen. Notieren Sie sich die DNs der DITs, für die Sie die Verschlüsselung erzwingen möchten.

Wir werden eine LDIF-Datei verwenden, um die Änderungen vorzunehmen. Erstellen Sie die LDIF-Datei in Ihrem Ausgangsverzeichnis. Wir werden esforcetls.ldif nennen: 

nano ~/forcetls.ldif

Wählen Sie im Inneren den DN aus, für den Sie TLS erzwingen möchten. In unserem Fall ist diesdn: olcDatabase={1}hdb,cn=config. Wir setzen diechangetype auf "modifizieren" und fügen das AttributolcSecurity hinzu. Setzen Sie den Wert des Attributs auf "tls = 1", um TLS für diese DIT zu erzwingen:

forcetls.ldif

dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1

Speichern und schließen Sie die Datei, wenn Sie fertig sind.

Um die Änderung zu übernehmen, geben Sie Folgendes ein: 

sudo ldapmodify -H ldapi:// -Y EXTERNAL -f forcetls.ldif

Laden Sie den OpenLDAP-Dienst neu, indem Sie Folgendes eingeben: 

sudo service slapd force-reload

Wenn Sie nun die DIT vondc=example,dc=comdurchsuchen, werden Sie abgelehnt, wenn Sie die Option-Znicht verwenden, um ein STARTTLS-Upgrade zu starten: 

ldapsearch -H ldap:// -x -b "dc=example,dc=com" -LLL dn

TLS-Fehler erforderlich 

Confidentiality required (13)
Additional information: TLS confidentiality required

Wir können zeigen, dass STARTTLS-Verbindungen immer noch korrekt funktionieren: 

ldapsearch -H ldap:// -x -b "dc=example,dc=com" -LLL -Z dn

TLS erforderte Erfolg 

dn: dc=example,dc=com

dn: cn=admin,dc=example,dc=com

Fazit

Sie sollten jetzt einen OpenLDAP-Server mit STARTTLS-Verschlüsselung konfigurieren. Wenn Sie Ihre Verbindung zum OpenLDAP-Server mit TLS verschlüsseln, können Sie die Identität des Servers überprüfen, mit dem Sie eine Verbindung herstellen. Es schirmt auch Ihren Verkehr von Zwischenparteien ab. Wenn Sie eine Verbindung über ein offenes Netzwerk herstellen, ist die Verschlüsselung Ihres Datenverkehrs unerlässlich.

Related