ওপেনএলডিএপি-র জন্য কীভাবে টিএলএস সেট আপ করতে হয় সে সম্পর্কে আমি প্রায় ঘুরে দেখেছি এবং অনেকগুলি অনলাইন পেয়েছি। মৌলিক ধারণাটি সার্ট, কী, ক্যাসর্ট ইন অন্তর্ভুক্ত করতে ওলসিটিএলএস আইটেম যুক্ত করছে cn=config
।
তবে, ফিউশনডাইরেক্টরির সাহায্যে , চেষ্টা করার চেষ্টা ldapmodify
আমাকে জানায় যেটিরcn=config
অস্তিত্ব নেই, এবং যখন আমি তৈরি করার চেষ্টা করি cn=config
, এটি আমাকে বলে (এলডিএপি অ্যাডমিন হিসাবে লগ ইন করা) যে এটি তৈরি করার অধিকার আমার নেই। আমি এই নির্দেশাবলী অনুসরণ ছিল ।
সুতরাং আমি /etc/ldap/slapd.d/cn=config.ldif
নিম্নলিখিত আইটেমগুলি যুক্ত করতে ফাইল সম্পাদনা করেছিলাম :
olcTLSCACertificate: /etc/ssl/certs/ca.cert
olcTLSCertificateFile: /etc/ssl/certs/fd.cert
olcTLSCertificateKeyFile: /etc/ssl/private/fd.key
olcTLSCipherSuite: SECURE256
olcTLSVerifyClient: try
আমি /etc/default/slapd
অন্তর্ভুক্ত সম্পাদনাSLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"
- আমি ওপেনল্ডপ ব্যবহারকারীকে এসএসএল-সার্ট গ্রুপে যুক্ত করেছি।
- আমি আবার চড় মারলাম।
- Ldapvi ব্যবহার করে
cn=config
খুঁজে পাওয়া যাবে না। - তবে
slapcat -n0 | grep -i tls
ওলসিটিএলএস * এন্ট্রি দেখায় আমি জোর করে ফাইলটিতে যুক্ত করেছি। - ওয়্যারশার্ক ব্যবহার করে, আমি দেখতে পাচ্ছি যখন ক্লায়েন্টটি START_TLS অনুরোধ করে, সার্ভারটি ঠিক আছে, এবং সমর্থিত সাইফারগুলি দেখায়। ক্লায়েন্টটি একটি এসএসএল হ্যালো শুরু করে এবং সার্ভারটি টিসিপি এফআইএন দিয়ে সাড়া দেয়।
nmap
পোর্টগুলি 389 এবং 636 টি খোলা রয়েছে এবং শংসাপত্রের তথ্য (ইস্যুকারী: সাধারণ নাম = মাই সার্ভার / সংস্থানাম = পরীক্ষা), পাবলিক কী টাইপ: আরএসএ, সার্বজনিক কী বিট: 4096 এবং শংসাপত্রের MD5 এবং SHA1 হ্যাশগুলি দেখায়। সুতরাং এটি শংসাপত্র এবং কী পড়তে সক্ষম, অনুমতিগুলি ঠিক আছে।
তবে এসএসএল (636) এবং টিএলএস (389) সংযোগ ব্যর্থ হয়েছে। আনইনক্রিপটেড 389 সংযোগগুলি ঠিক সূক্ষ্মভাবে কাজ করে, কেবল ওয়্যারশার্কে আমি খুব বেশি তথ্য দেখি এবং এটি আমাকে অস্বস্তিকর করে তোলে।
সুতরাং এখানে কি চুক্তি?
- ওএস হ'ল ডেবিয়ান জেসি 8.7
- ফিউশনডিরেক্টরি 1.0.20
- ওপেনলডিপ ২.৪.৪০
- টিএলএস এক্সটেনশনগুলির সাথে জিনোমিন্ট দিয়ে তৈরি করা শংসাপত্র ।
15 মে 2017 সম্পাদনা করুন:
আমি দৌড়ে এসেছি openssl s_client -connect host.local -showcerts
এবং এটি শংসাপত্র, আলোচনার সাইফার ইত্যাদি দেখিয়েছে
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms:
RSA+SHA384:ECDSA+SHA384:RSA+SHA512:ECDSA+SHA512
Shared Requested Signature Algorithms:
RSA+SHA384:ECDSA+SHA384:RSA+SHA512:ECDSA+SHA512
Peer signing digest: SHA512
Server Temp Key: ECDH, P-521, 521 bits
---
SSL handshake has read 4512 bytes and written 511 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 5120 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 37EAADA00459F296BE972FB57B4A5....
Session-ID-ctx:
Master-Key: 0F865CBEDA755F84E783.....
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1494883911
Timeout : 300 (sec)
Verify return code: 19 (self signed certificate in certificate chain)
---
তবে, ldapsearch
কাজ করে না:
# ldapsearch -H ldaps://host.local:636 -xLL -v
ldap_initialize( ldaps://host.local:636/??base )
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
সুতরাং এসএসএল অংশটি কাজ করে, তবে এটির বাকি অংশগুলি নয়।