Benutzer-Werkzeuge

Webseiten-Werkzeuge


ldap

LDAP einrichten

apt-get install slapd ldap-utils

Loglevel Ändern

Zum Ändern des Loglevels muss zuerst eine LIDF Datei erstellt werden mit folgendem Inhalt: Häufige LogLevelTypen: stats | any | none

dn: cn=config
changeType: modify
replace: olcLogLevel
olcLogLevel: stats

Danach wird die Datei per Ldapmodify eingelesen:

ldapmodify -Y EXTERNAL -H ldapi:/// -f loglevel.ldif 

Mit folgendem Befehl kann der aktuelle LogLevel angezeigt werden

ldapsearch -Y external -H ldapi:/// -b cn=config "(objectClass=olcGlobal)" olcLogLevel

Die Logeinträge werden in die Datei /var/log/syslog geschrieben.

TLS einrichten

Zertifikate erstellen

sudo apt-get install gnutls-bin 
sudo mkdir /var/ssl
cd /var/ssl

Eigenes CA-Zertifikat erstellen

ca.cfg neu anlegen

cn = meinedomain
ca
cert_signing_key
sudo sh -c "certtool --generate-privkey > cakey.pem" 
sudo certtool --generate-self-signed --load-privkey cakey.pem --template ca.cfg --outfile cacert.pem 

Private Key generieren

sudo sh -c "certtool --generate-privkey > ldap_slapd_key.pem 

Server Zertifikat

slapd.cfg neu anlegen

organization = oesi
cn = ldap.oesi.org
tls_www_server
encryption_key
signing_key
sudo certtool --generate-certificate --load-privkey ldap_slapd_key.pem --load-ca-certificate cacert.pem --load-ca-privkey cakey.pem --template slapd.cfg --outfile ldap_slapd_cert.pem 

Zertifikate installieren

sudo install -D -o openldap -g openldap -m 600 /var/ssl/ldap_slapd_key.pem  /etc/ssl/private/ldap_slapd_key.pem
sudo install -D -o openldap -g openldap -m 600 /var/ssl/ldap_slapd_cert.pem  /etc/ssl/certs/ldap_slapd_cert.pem
sudo install -D -o openldap -g openldap -m 600 /var/ssl/cacert.pem  /etc/ssl/certs/ldap_slapd_cacert.pem 

Zum hinzufügen der Zertifikate zum Server tls.ldif erstellen mit folgendem inhalt

dn: cn=config
changetype: modify
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/ldap_slapd_cacert.pem

dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap_slapd_key.pem

dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap_slapd_cert.pem

und einlesen

ldapadd -Y EXTERNAL -H ldapi:/// -f tls.ldif

/etc/ldap/ldap.conf anpassen

BASE    dc=oesi,dc=org
URI     ldap://localhost

ldap_version 3
#ssl start_tls
#TLS_CACERT /etc/ssl/certs/ldap_slapd_cacert.pem
TLS_REQCERT never

Apache neu starten damit die ldap.conf neu eingelesen wird!

Bei dem Fehler

main: TLS init def ctx failed: -1

Openldap zur Gruppe ssl-cert hinzufügen

usermod -a -G ssl-cert openldap

Falls der folgende Fehler auftritt liegt es eventuell an den Berechtigungen der Zertifikate. Diese müssen vom User openldap lesbar sein. Und sollten von anderen Usern nicht lesbar sein.

modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)

Sonstiges

LDAP Server neu starten

/etc/init.d/slapd resart

Verschlüsselte suche

ldapsearch -x -ZZ

PHP CODE

switch($type)
{
	case 'starttls': 
		$port=389;
		$ldap_url='ldap://'.LDAP_SERVER;
		break;
 
	case 'ldaps':
		$port=636;
		$ldap_url='ldaps://'.LDAP_SERVER;
		break;
 
	case 'plain':
		$port=389;
		$ldap_url='ldap://'.LDAP_SERVER;
		break;
}
 
$ldap_conn = ldap_connect($ldap_url, $port);
 
ldap_set_option($ldap_conn, LDAP_OPT_PROTOCOL_VERSION, 3);
ldap_set_option($ldap_conn, LDAP_OPT_REFERRALS, 0);
 
if($type=='starttls')
	if(!ldap_start_tls($this->ldap_conn))
		die('StartTLS fehlgeschlagen');
 
 
ldap_bind($ldap_conn, $binddn,$bindpw);
ldap.txt · Zuletzt geändert: 2017/06/23 09:13 von oesi