Scientific Linux 6
Sponsored Link

LDAP over TLS2011/03/19

 
LDAP over TLSを使用して LDAPサーバーとクライアント間の通信をよりセキュアにします。
[1]
まずはこちらを参照してSSL証明書を作成しておきます。
[2] LDAPサーバー側の設定です。
[root@master ~]#
cp /etc/pki/tls/certs/server.* /etc/openldap/cacerts/

[root@master ~]#
chown ldap. /etc/openldap/cacerts/*

[root@master ~]#
ldapmodify -Y EXTERNAL -H ldapi:///

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
# 以下を入力

dn: cn=config
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/cacerts/server.crt
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/cacerts/server.key 
# 終了は Ctrl+D
[root@master ~]#
vi /etc/sysconfig/ldap
# 20行目:変更

SLAPD_LDAPS=
yes
[root@master ~]#
/etc/rc.d/init.d/slapd restart

Stopping slapd:
[  OK  ]

Starting slapd:
[  OK  ]

[3] クライアント側の設定です。
[root@www ~]#
vi /etc/openldap/ldap.conf
# 最終行に追記

URI ldaps://10.0.0.100/
BASE dc=srv,dc=world
TLS_CACERTDIR /etc/openldap/cacerts
TLS_REQCERT allow
[root@www ~]#
vi /etc/nslcd.conf
# 133行目:以下のように変更

#
ssl no
tls_cacertdir /etc/openldap/cacertsa
ssl start_tls
tls_reqcert allow
[root@www ~]#
vi /etc/pam_ldap.conf
# 291行目:以下のように変更

#
ssl no
tls_cacertdir /etc/openldap/cacerts
ssl start_tls
tls_reqcert allow
[root@www ~]#
shutdown -r now
www.srv.world login: fedora
Password:
Last login: Sun Mar 20 03:35:28 on ttyS0
[fedora@www ~]$
# ログインできた

関連コンテンツ