LDAP over TLS2011/03/19 |
LDAP over TLSを使用して LDAPサーバーとクライアント間の通信をよりセキュアにします。
|
|
[1] |
まずはこちらを参照してSSL証明書を作成しておきます。
|
[2] | LDAPサーバー側の設定です。 |
[root@master ~]# cp /etc/pki/tls/certs/server.* /etc/openldap/cacerts/ [root@master ~]# chown ldap. /etc/openldap/cacerts/* [root@master ~]# ldapmodify -Y EXTERNAL -H ldapi:/// SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 # 以下を入力 dn: cn=config add: olcTLSCertificateFile olcTLSCertificateFile: /etc/openldap/cacerts/server.crt - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/openldap/cacerts/server.key # 終了は Ctrl+D
[root@master ~]#
vi /etc/sysconfig/ldap # 20行目:変更 SLAPD_LDAPS= yes /etc/rc.d/init.d/slapd restart Stopping slapd: [ OK ] Starting slapd: [ OK ] |
[3] | クライアント側の設定です。 |
[root@www ~]#
vi /etc/openldap/ldap.conf # 最終行に追記 URI ldaps://10.0.0.100/ BASE dc=srv,dc=world TLS_CACERTDIR /etc/openldap/cacerts TLS_REQCERT allow
[root@www ~]#
vi /etc/nslcd.conf # 133行目:以下のように変更 # ssl notls_cacertdir /etc/openldap/cacertsa
ssl start_tls tls_reqcert allow
[root@www ~]#
vi /etc/pam_ldap.conf # 291行目:以下のように変更 # ssl notls_cacertdir /etc/openldap/cacerts
ssl start_tls
tls_reqcert allow
[root@www ~]#
www.srv.world login: fedorashutdown -r now Password: Last login: Sun Mar 20 03:35:28 on ttyS0 [fedora@www ~]$ # ログインできた |
Sponsored Link |
|