টিএলএস = প্রয়োজনীয় সাথে ওপেনলডিএপি কনফিগার করুন

আজকাল, ওপেনএলডিএপি ldapmodify cn = কনফিগারেশন কনফিগার করা প্রয়োজন, এখানে বর্ণিত হিসাবে । তবে কেবলমাত্র টিএলএস ট্র্যাফিক গ্রহণ করার জন্য আপনি কীভাবে এটি কনফিগার করেছেন তা আমি কোথাও পাই না । আমি কেবল নিশ্চিত করেছি যে আমাদের সার্ভারটি এনক্রিপ্ট করা ট্র্যাফিক গ্রহণ করেছে (ldapsearch এবং tcpdump সহ)।

সাধারণত, আমি কেবল আইপি টেবিলগুলি সহ নন-এসএসএল পোর্টটি বন্ধ করব, তবে এসএসএল পোর্টটি ব্যবহার করা হ্রাস করা হয়েছে, স্পষ্টতই, তাই আমার কাছে বিকল্প নেই।

সুতরাং, এসএসএল কনফিগারেশন কমান্ডগুলির সাথে:

dn: cn=config
changetype:modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/bla.key
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/bla.crt
-
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/ca.pem

টিএলএস জোর করার জন্য কি কোনও পরম আছে?

সম্পাদনা: আমি অলসিটিএলএসসিফারসুइट চেষ্টা করেছিলাম, কিন্তু এটি কার্যকর হয় না। ডিবাগ আউটপুট:

TLS: could not set cipher list TLSv1+RSA:!NULL.
main: TLS init def ctx failed: -1
slapd destroy: freeing system resources.
slapd stopped.
connections_destroy: nothing to destroy.

সম্পাদনা 2 (প্রায় স্থির): আমি লোড করে এটি ঠিক করতে সক্ষম হয়েছি:

# cat force-ssl.tx 
dn: cn=config
changetype:  modify
add: olcSecurity
olcSecurity: tls=1

কিন্তু তারপর কমান্ড পছন্দ

ldapmodify -v -Y EXTERNAL -H ldapi:/// -f /etc/ssl/tls-required.ldif

আর কাজ করবেন না ... এবং এটিকে পরিবর্তন করুন:

ldapmodify -v -x -D "cn=admin,dc=domain,dc=com" -H ldap://ldap.bla.tld/ -ZZ -W -f force-ssl.txt

আমাকে "ldap_bind: অবৈধ শংসাপত্র (49)" দেয়। স্পষ্টতই, যদিও এই বাইন্ডডনটি rootdn হিসাবে নির্দিষ্ট করা হয়েছে, আমি এটি পরিবর্তন করতে ব্যবহার করতে পারি না cn=config। এটা কি পরিবর্তন করা যায়?

আমি এটি পেয়েছেন বলে মনে হয়েছিল:

আমি এটা করেছি:

dn: olcDatabase={1}hdb,cn=config
changetype:  modify
add: olcSecurity
olcSecurity: tls=1

এবং এটি পছন্দসই প্রভাব আছে বলে মনে হচ্ছে। আমি এখনও কমান্ডগুলি চালাতে পারি:

ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config

তবে ldapsearch -xLLL -b ...এসএসএল ছাড়াই " " সাথে আবদ্ধ থাকার চেষ্টা বলে: "টিএলএস গোপনীয়তার প্রয়োজন"

এটি টিএলএসসিফারসুইট বিকল্পের মাধ্যমে অর্জন করা হয়েছে । ওপেনলডিএপি জাইট্রাক্স বইয়ের এলডিএপি সুরক্ষা অধ্যায়ে একটি উদাহরণ নথিভুক্ত করা হয়েছে । এটির সাহায্যে আপনি ওপেনলডিপকে সিফার স্যুটগুলি বলতে পারেন যা আপনার সার্ভার গ্রহণ করবে। উদাহরণস্বরূপ, আপনি বলতে পারেন যে আপনি একটি NULLসাইফার স্যুট চান না (যেমন: অ এনক্রিপ্ট হওয়া সেশন)।

ওপেনএলডিএপি ওপেনএসএসএল বা জ্ঞানটিএলএস লাইব্রেরির সাথে সংযুক্ত হতে পারে তবে সতর্ক থাকুন। যারা তাদের এনক্রিপশন সমর্থনটি বর্ণনা করতে বিভিন্ন সাইফার তালিকা ব্যবহার করে। দ্বারা OpenSSL সাইফার তালিকা মত কমান্ড সঙ্গে প্রাপ্ত করা যাবে openssl ciphers -vএবং সঙ্গে GnuTLS তালিকা gnutls-cli -l।

সহজ উপায় এনক্রিপশন ছাড়া সংযোগ নিষ্ক্রিয় করতে তারপর হবে:

dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: ALL:!NULL

GnuTLS সিনট্যাক্স ব্যবহার করে আরও নির্দিষ্ট সীমাবদ্ধতা :

dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: TLS_RSA_CAMELLIA_128_CBC_SHA1:TLS_RSA_CAMELLIA_256_CBC_SHA1:!NULL

আরও একটি সম্পূর্ণ উদাহরণ হতে পারে ( ওপেনএসএসএল সিনট্যাক্স ব্যবহার করে ):

dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: HIGH:+SSLv3:+TLSv1:MEDIUM:+SSLv2:@STRENGTH:+SHA:+MD5:!NULL

অনুরূপ প্রশ্নটি পড়ার জন্য ওপেনলডিএপি মেলিং তালিকার আলোচনা রয়েছে ।

এটিও লক্ষণীয় যে, ওপেনলডিএপি ক্লিপ সরঞ্জামগুলি, যেমন ldapsearchএনক্রিপ্ট করা সংযোগগুলি নিষিদ্ধ করে কোনও সার্ভারের সাথে সংযোগ করার সময় স্বয়ংক্রিয়ভাবে টিএলএস ব্যবহার করতে স্যুইচ করছে। মানে আপনি যে না যোগ করতে হবে -Zargs লিস্টে।