ফিউশনডাইরেক্টরি: এসএসএল বা টিএলএস সহ ওপেনলডিপ

1

ওপেনএলডিএপি-র জন্য কীভাবে টিএলএস সেট আপ করতে হয় সে সম্পর্কে আমি প্রায় ঘুরে দেখেছি এবং অনেকগুলি অনলাইন পেয়েছি। মৌলিক ধারণাটি সার্ট, কী, ক্যাসর্ট ইন অন্তর্ভুক্ত করতে ওলসিটিএলএস আইটেম যুক্ত করছে cn=config

তবে, ফিউশনডাইরেক্টরির সাহায্যে , চেষ্টা করার চেষ্টা ldapmodifyআমাকে জানায় যেটিরcn=config অস্তিত্ব নেই, এবং যখন আমি তৈরি করার চেষ্টা করি cn=config, এটি আমাকে বলে (এলডিএপি অ্যাডমিন হিসাবে লগ ইন করা) যে এটি তৈরি করার অধিকার আমার নেই। আমি এই নির্দেশাবলী অনুসরণ ছিল ।

সুতরাং আমি /etc/ldap/slapd.d/cn=config.ldifনিম্নলিখিত আইটেমগুলি যুক্ত করতে ফাইল সম্পাদনা করেছিলাম :

olcTLSCACertificate: /etc/ssl/certs/ca.cert
olcTLSCertificateFile: /etc/ssl/certs/fd.cert
olcTLSCertificateKeyFile: /etc/ssl/private/fd.key
olcTLSCipherSuite: SECURE256
olcTLSVerifyClient: try

আমি /etc/default/slapdঅন্তর্ভুক্ত সম্পাদনাSLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"

  • আমি ওপেনল্ডপ ব্যবহারকারীকে এসএসএল-সার্ট গ্রুপে যুক্ত করেছি।
  • আমি আবার চড় মারলাম।
  • Ldapvi ব্যবহার করে cn=configখুঁজে পাওয়া যাবে না।
  • তবে slapcat -n0 | grep -i tlsওলসিটিএলএস * এন্ট্রি দেখায় আমি জোর করে ফাইলটিতে যুক্ত করেছি।
  • ওয়্যারশার্ক ব্যবহার করে, আমি দেখতে পাচ্ছি যখন ক্লায়েন্টটি START_TLS অনুরোধ করে, সার্ভারটি ঠিক আছে, এবং সমর্থিত সাইফারগুলি দেখায়। ক্লায়েন্টটি একটি এসএসএল হ্যালো শুরু করে এবং সার্ভারটি টিসিপি এফআইএন দিয়ে সাড়া দেয়।
  • nmapপোর্টগুলি 389 এবং 636 টি খোলা রয়েছে এবং শংসাপত্রের তথ্য (ইস্যুকারী: সাধারণ নাম = মাই সার্ভার / সংস্থানাম = পরীক্ষা), পাবলিক কী টাইপ: আরএসএ, সার্বজনিক কী বিট: 4096 এবং শংসাপত্রের MD5 এবং SHA1 হ্যাশগুলি দেখায়। সুতরাং এটি শংসাপত্র এবং কী পড়তে সক্ষম, অনুমতিগুলি ঠিক আছে।

তবে এসএসএল (636) এবং টিএলএস (389) সংযোগ ব্যর্থ হয়েছে। আনইনক্রিপটেড 389 সংযোগগুলি ঠিক সূক্ষ্মভাবে কাজ করে, কেবল ওয়্যারশার্কে আমি খুব বেশি তথ্য দেখি এবং এটি আমাকে অস্বস্তিকর করে তোলে।

সুতরাং এখানে কি চুক্তি?

  • ওএস হ'ল ডেবিয়ান জেসি 8.7
  • ফিউশনডিরেক্টরি 1.0.20
  • ওপেনলডিপ ২.৪.৪০
  • টিএলএস এক্সটেনশনগুলির সাথে জিনোমিন্ট দিয়ে তৈরি করা শংসাপত্র

15 মে 2017 সম্পাদনা করুন:

আমি দৌড়ে এসেছি openssl s_client -connect host.local -showcertsএবং এটি শংসাপত্র, আলোচনার সাইফার ইত্যাদি দেখিয়েছে

Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: 
RSA+SHA384:ECDSA+SHA384:RSA+SHA512:ECDSA+SHA512
Shared Requested Signature Algorithms: 
RSA+SHA384:ECDSA+SHA384:RSA+SHA512:ECDSA+SHA512
Peer signing digest: SHA512
Server Temp Key: ECDH, P-521, 521 bits
---
SSL handshake has read 4512 bytes and written 511 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 5120 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 37EAADA00459F296BE972FB57B4A5....
    Session-ID-ctx: 
    Master-Key: 0F865CBEDA755F84E783.....
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1494883911
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---

তবে, ldapsearchকাজ করে না:

# ldapsearch -H ldaps://host.local:636 -xLL -v
ldap_initialize( ldaps://host.local:636/??base )
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

সুতরাং এসএসএল অংশটি কাজ করে, তবে এটির বাকি অংশগুলি নয়।

linux  security  ssl  tls  openldap 
রিচার্ড Żak
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.