Cách mã hóa các kết nối OpenLDAP bằng STARTTLS
Giới thiệu OpenLDAP cung cấp dịch vụ thư mục LDAP linh hoạt và được hỗ trợ tốt. Tuy nhiên, out-of-the-box, chính máy chủ giao tiếp qua kết nối web không được mã hóa. Trong hướng dẫn này, chúng tôi sẽ trình bày cách mã hóa các kết nối tới OpenLDAP bằng STARTTLS để nâng cấp các kết nối thông thường ...
Giới thiệu
OpenLDAP cung cấp dịch vụ thư mục LDAP linh hoạt và được hỗ trợ tốt. Tuy nhiên, out-of-the-box, chính máy chủ giao tiếp qua kết nối web không được mã hóa. Trong hướng dẫn này, chúng tôi sẽ trình bày cách mã hóa các kết nối tới OpenLDAP bằng STARTTLS để nâng cấp các kết nối thông thường lên TLS. Chúng tôi sẽ sử dụng Ubuntu 14.04 làm máy chủ LDAP của chúng tôi.
Điều kiện tiên quyết
Trước khi bắt đầu với hướng dẫn này, bạn nên có người dùng không phải root với sudo thiết lập trên máy chủ của bạn. Để thiết lập người dùng thuộc loại này, hãy làm theo Ubuntu 14.04 hướng dẫn thiết lập ban đầu.
Chúng tôi sẽ giới thiệu cách cài đặt OpenLDAP trên máy chủ Ubuntu 14.04 trong hướng dẫn này. Nếu bạn đã cài đặt OpenLDAP trên máy chủ của mình, bạn có thể bỏ qua các bước cài đặt và cấu hình có liên quan.
LDAP qua SSL và LDAP với STARTTLS
Có hai cách để mã hóa các kết nối LDAP với SSL / TLS.
Theo truyền thống, các kết nối LDAP cần được mã hóa được xử lý trên một cổng riêng biệt, thường là 636. Toàn bộ kết nối sẽ được bao bọc với SSL / TLS. Quá trình này, được gọi là LDAP qua SSL, sử dụng ldaps:// giao thức. Phương pháp mã hóa này hiện không được chấp nhận.
STARTTLS là một phương pháp thay thế mà bây giờ là phương pháp ưa thích của mã hóa một kết nối LDAP. STARTTLS "nâng cấp" một kết nối không được mã hóa bằng cách gói nó với SSL / TLS sau / trong quá trình kết nối. Điều này cho phép các kết nối được mã hóa và mã hóa được xử lý bởi cùng một cổng. Hướng dẫn này sẽ sử dụng STARTTLS để mã hóa các kết nối.
Đặt tên máy chủ và FQDN
Trước khi bạn bắt đầu, chúng ta nên thiết lập máy chủ của mình để máy chủ phân giải chính xác tên máy chủ và tên miền đầy đủ (FQDN) của nó. Điều này sẽ cần thiết để chứng chỉ của chúng tôi được khách hàng xác thực. Chúng tôi sẽ giả định rằng máy chủ LDAP của chúng tôi sẽ được lưu trữ trên máy có FQDN của ldap.example.com.
Để đặt tên máy chủ ở tất cả các địa điểm có liên quan trên máy chủ của bạn, hãy sử dụng hostnamectl lệnh với set-hostname Tùy chọn. Đặt tên máy chủ thành tên máy chủ ngắn (không bao gồm thành phần tên miền):
sudo hostnamectl set-hostname ldap
Tiếp theo, chúng ta cần đặt FQDN của máy chủ bằng cách đảm bảo rằng /etc/hosts tệp có thông tin chính xác:
sudo nano /etc/hosts
Tìm đường vẽ bản đồ 127.0.1.1 Địa chỉ IP. Thay đổi trường đầu tiên sau địa chỉ IP thành FQDN của máy chủ và trường thứ hai thành tên máy chủ ngắn. Ví dụ của chúng tôi, nó sẽ giống như thế này:
/etc/hosts
. . . 127.0.1.1 ldap.example.com ldap 127.0.0.1 localhost . . .
Lưu và đóng tệp khi bạn hoàn tất.
Bạn có thể kiểm tra xem bạn đã định cấu hình đúng các giá trị này chưa bằng cách nhập:
hostname
Điều này sẽ trả lại tên máy chủ ngắn của bạn:
short hostname
ldap
Kiểm tra FQDN bằng cách gõ:
hostname -f
Điều này sẽ trả về FQDN:
FQDN setting
ldap.example.com
Cài đặt phần mềm máy chủ LDAP và GnuTLS
Sau khi đảm bảo rằng tên máy chủ của bạn được đặt đúng, chúng tôi có thể cài đặt phần mềm mà chúng tôi cần. Nếu bạn đã cài đặt và cấu hình OpenLDAP, bạn có thể bỏ qua phần phụ đầu tiên.
Cài đặt máy chủ OpenLDAP
Nếu bạn chưa cài đặt OpenLDAP, bây giờ là lúc sửa lỗi đó. Cập nhật chỉ mục gói địa phương của máy chủ và cài đặt phần mềm bằng cách gõ:
sudo apt-get update sudo apt-get install slapd ldap-utils
Bạn sẽ được yêu cầu cung cấp mật khẩu quản trị LDAP. Vui lòng bỏ qua lời nhắc, vì chúng tôi sẽ định cấu hình lại ngay sau đó.
Để truy cập một số lời nhắc bổ sung mà chúng tôi cần, chúng tôi sẽ cấu hình lại gói sau khi cài đặt. Để làm như vậy, hãy nhập:
sudo dpkg-reconfigure slapd
Trả lời các lời nhắc phù hợp, sử dụng thông tin bên dưới làm điểm bắt đầu:
- Bỏ cấu hình máy chủ OpenLDAP? Không (chúng tôi muốn có cơ sở dữ liệu và cấu hình ban đầu)
- Tên miền DNS: example.com (sử dụng tên miền của máy chủ, trừ tên máy chủ. Điều này sẽ được sử dụng để tạo mục cơ sở cho cây thông tin)
- Tên tổ chức: Ví dụ Inc (Điều này sẽ chỉ được thêm vào mục cơ sở như tên của tổ chức của bạn)
- Mật khẩu quản trị viên: [bất cứ điều gì bạn muốn]
- Xác nhận mật khẩu: [phải khớp với phần trên]
- Cơ sở dữ liệu phụ trợ để sử dụng: HDB (trong hai lựa chọn, điều này có chức năng nhất)
- Bạn có muốn cơ sở dữ liệu bị xóa khi slapd bị xóa không? Chọn "Có" để cho phép xóa hoàn toàn sạch sẽ, chọn "Không" để lưu dữ liệu của bạn ngay cả khi phần mềm bị xóa)
- Di chuyển cơ sở dữ liệu cũ? Vâng
- Cho phép giao thức LDAPv2? Không
Cài đặt các thành phần SSL
Khi máy chủ OpenLDAP của bạn được cấu hình, chúng ta có thể tiếp tục và cài đặt các gói mà chúng ta sẽ sử dụng để mã hóa kết nối của chúng ta. Gói OpenLDAP của Ubuntu được biên dịch dựa vào các thư viện SSL của GnuTLS, vì vậy chúng tôi sẽ sử dụng GnuTLS để tạo thông tin đăng nhập SSL của chúng tôi:
sudo apt-get install gnutls-bin ssl-cert
Với tất cả các công cụ của chúng tôi được cài đặt, chúng tôi có thể bắt đầu tạo các chứng chỉ và khóa cần thiết để mã hóa các kết nối của chúng tôi.
Tạo mẫu chứng chỉ
Để mã hóa các kết nối của chúng tôi, chúng tôi sẽ cần định cấu hình tổ chức phát hành chứng chỉ và sử dụng nó để ký các khóa cho (các) máy chủ LDAP trong cơ sở hạ tầng của chúng tôi. Vì vậy, đối với thiết lập máy chủ đơn của chúng tôi, chúng tôi sẽ cần hai bộ cặp khóa / chứng chỉ: một bộ cho tổ chức phát hành chứng chỉ và một bộ được liên kết với dịch vụ LDAP.
Để tạo các chứng chỉ cần thiết để biểu diễn các thực thể này, chúng tôi sẽ tạo một số tệp mẫu. Chúng sẽ chứa thông tin mà certtool nhu cầu tiện ích để tạo chứng chỉ với các thuộc tính thích hợp.
Bắt đầu bằng cách tạo một thư mục để lưu trữ các tệp mẫu:
sudo mkdir /etc/ssl/templates
Tạo mẫu CA
Tạo mẫu cho tổ chức phát hành chứng chỉ trước. Chúng tôi sẽ gọi tập tin ca_server.conf. Tạo và mở tệp trong trình chỉnh sửa văn bản của bạn:
sudo nano /etc/ssl/templates/ca_server.conf
Chúng tôi chỉ cần cung cấp một vài thông tin để tạo thành công cơ quan cấp chứng chỉ. Chúng ta cần phải xác định rằng chứng chỉ sẽ là một CA (authority authority) bằng cách thêm ca Tùy chọn. Chúng tôi cũng cần cert_signing_key tùy chọn để cung cấp cho chứng chỉ được tạo khả năng ký các chứng chỉ bổ sung. Chúng ta có thể thiết lập cn cho bất kỳ tên mô tả nào chúng tôi muốn cho cơ quan cấp chứng chỉ của chúng tôi:
caserver.conf
cn = LDAP Server CA ca cert_signing_key
Lưu và đóng tập tin.
Tạo mẫu dịch vụ LDAP
Tiếp theo, chúng tôi có thể tạo mẫu cho chứng chỉ máy chủ LDAP được gọi là ldap_server.conf. Tạo và mở tệp trong trình chỉnh sửa văn bản của bạn sudo đặc quyền:
sudo nano /etc/ssl/templates/ldap_server.conf
Ở đây, chúng tôi sẽ cung cấp một vài thông tin khác nhau. Chúng tôi sẽ cung cấp tên tổ chức của chúng tôi và thiết lập tls_www_server, encryption_keyvà signing_key tùy chọn sao cho chứng chỉ của chúng tôi có chức năng cơ bản cần thiết.
Các cn trong mẫu này phải khớp với FQDN của máy chủ LDAP. Nếu giá trị này không khớp, máy khách sẽ từ chối chứng nhận của máy chủ. Chúng tôi cũng sẽ đặt ngày hết hạn cho chứng chỉ. Chúng tôi sẽ tạo chứng chỉ 10 năm để tránh phải quản lý gia hạn thường xuyên:
ldapserver.conf
organization = "Example Inc" cn = ldap.example.com tls_www_server encryption_key signing_key expiration_days = 3652
Lưu và đóng tệp khi bạn hoàn tất.
Tạo khóa CA và chứng chỉ
Bây giờ chúng ta có các mẫu của chúng ta, chúng ta có thể tạo hai cặp khóa / chứng chỉ của mình. Trước tiên chúng ta cần phải tạo tập hợp của tổ chức phát hành chứng chỉ.
Sử dụng certtool tiện ích để tạo khóa riêng. Các /etc/ssl/private thư mục được bảo vệ khỏi người dùng không phải root và là vị trí thích hợp để đặt các khóa riêng mà chúng ta sẽ tạo ra. Chúng ta có thể tạo một khóa riêng và viết nó vào một tập tin gọi là ca_server.key trong thư mục này bằng cách gõ:
sudo certtool -p --outfile /etc/ssl/private/ca_server.key
Bây giờ, chúng ta có thể sử dụng khóa riêng mà chúng ta vừa tạo ra và tệp mẫu mà chúng ta đã tạo trong phần cuối cùng để tạo chứng chỉ của tổ chức phát hành chứng chỉ. Chúng tôi sẽ viết thư này vào một tệp trong /etc/ssl/certs thư mục được gọi là ca_server.pem:
sudo certtool -s --load-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ca_server.conf --outfile /etc/ssl/certs/ca_server.pem
Bây giờ chúng ta có cặp khóa riêng và chứng chỉ cho tổ chức phát hành chứng chỉ của mình. Chúng ta có thể sử dụng điều này để ký khóa sẽ được sử dụng để thực sự mã hóa phiên LDAP.
Tạo khóa và chứng chỉ dịch vụ LDAP
Tiếp theo, chúng ta cần tạo khóa riêng cho máy chủ LDAP của mình. Chúng tôi sẽ đặt lại khóa được tạo trong /etc/ssl/private thư mục cho mục đích bảo mật và sẽ gọi tệp ldap_server.key cho rõ ràng.
Chúng ta có thể tạo khóa thích hợp bằng cách gõ:
sudo certtool -p --sec-param high --outfile /etc/ssl/private/ldap_server.key
Khi chúng tôi có khóa riêng cho máy chủ LDAP, chúng tôi có mọi thứ cần thiết để tạo chứng chỉ cho máy chủ. Chúng tôi sẽ cần phải kéo gần như tất cả các thành phần chúng tôi đã tạo cho đến nay (chứng chỉ và khóa CA, khóa máy chủ LDAP và mẫu máy chủ LDAP).
Chúng tôi sẽ đưa chứng chỉ vào /etc/ssl/certs và đặt tên cho nó ldap_server.pem. Lệnh chúng ta cần là:
sudo certtool -c --load-privkey /etc/ssl/private/ldap_server.key --load-ca-certificate /etc/ssl/certs/ca_server.pem --load-ca-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ldap_server.conf --outfile /etc/ssl/certs/ldap_server.pem
Cấp quyền truy cập OpenLDAP cho khóa máy chủ LDAP
Chúng tôi hiện có tất cả các chứng chỉ và khóa mà chúng tôi cần. Tuy nhiên, hiện tại, quy trình OpenLDAP của chúng tôi sẽ không thể truy cập khóa riêng của nó.
Một nhóm được gọi là ssl-cert đã tồn tại với tư cách là chủ nhóm của /etc/ssl/private danh mục. Chúng tôi có thể thêm người dùng quy trình OpenLDAP của chúng tôi chạy dưới (openldap) cho nhóm này:
sudo usermod -aG ssl-cert openldap
Bây giờ, người dùng OpenLDAP của chúng tôi có quyền truy cập vào thư mục. Chúng tôi vẫn cần cung cấp quyền sở hữu nhóm đó cho ldap_server.key mặc dù chúng tôi có thể cho phép truy cập đọc. Đưa ra ssl-cert quyền sở hữu nhóm trên tệp đó bằng cách nhập:
sudo chown :ssl-cert /etc/ssl/private/ldap_server.key
Bây giờ, hãy cho ssl-cert nhóm đọc quyền truy cập vào tệp:
sudo chmod 640 /etc/ssl/private/ldap_server.key
Bây giờ, quy trình OpenSSL của chúng tôi có thể truy cập tệp khóa chính xác.
Định cấu hình OpenLDAP để sử dụng chứng chỉ và khóa
Chúng tôi có các tệp của chúng tôi và đã định cấu hình quyền truy cập vào các thành phần chính xác. Bây giờ, chúng ta cần phải sửa đổi cấu hình OpenLDAP của chúng tôi để sử dụng các tập tin chúng tôi đã thực hiện. Chúng tôi sẽ làm điều này bằng cách tạo một tệp LDIF với các thay đổi cấu hình của chúng tôi và tải nó vào trường hợp LDAP của chúng tôi.
Chuyển đến thư mục chính của bạn và mở một tệp có tên addcerts.ldif. Chúng tôi sẽ thay đổi cấu hình của chúng tôi trong tệp này:
cd ~ nano addcerts.ldif
Để thực hiện thay đổi cấu hình, chúng tôi cần nhắm mục tiêu cn=config mục nhập của cấu hình DIT. Chúng ta cần xác định rằng chúng ta muốn sửa đổi các thuộc tính của mục nhập. Sau đó chúng ta cần thêm olcTLSCACertificateFile, olcCertificateFilevà olcCertificateKeyFile và đặt chúng vào đúng vị trí tệp.
Kết quả cuối cùng sẽ trông như thế này:
addcerts.ldif
dn: cn=config changetype: modify add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key
Lưu và đóng tệp khi bạn hoàn tất. Áp dụng các thay đổi cho hệ thống OpenLDAP của bạn bằng cách sử dụng ldapmodify chỉ huy:
sudo ldapmodify -H ldapi:// -Y EXTERNAL -f addcerts.ldif
Chúng tôi có thể tải lại OpenLDAP để áp dụng các thay đổi:
sudo service slapd force-reload
Khách hàng của chúng tôi hiện có thể mã hóa các kết nối của họ với máy chủ qua ldap:// bằng cách sử dụng STARTTLS.
Thiết lập Máy khách
Để kết nối với máy chủ LDAP và bắt đầu nâng cấp STARTTLS, khách hàng phải có quyền truy cập vào chứng chỉ của tổ chức phát hành chứng chỉ và phải yêu cầu nâng cấp.
Trên máy chủ OpenLDAP
Nếu bạn đang tương tác với máy chủ OpenLDAP từ chính máy chủ, bạn có thể thiết lập các tiện ích máy khách bằng cách sao chép chứng chỉ CA và điều chỉnh tệp cấu hình máy khách.
Đầu tiên, sao chép chứng chỉ CA từ /etc/ssl/certs thư mục vào một tệp trong /etc/ldap danh mục. Chúng tôi sẽ gọi tập tin này ca_certs.pem. Tệp này có thể được sử dụng để lưu trữ tất cả chứng chỉ CA mà máy khách trên máy này có thể muốn truy cập. Vì mục đích của chúng tôi, điều này sẽ chỉ chứa một chứng chỉ duy nhất:
sudo cp /etc/ssl/certs/ca_server.pem /etc/ldap/ca_certs.pem
Bây giờ, chúng ta có thể điều chỉnh tập tin cấu hình toàn hệ thống cho các tiện ích OpenLDAP. Mở tệp cấu hình trong trình soạn thảo văn bản của bạn với sudo đặc quyền:
sudo nano /etc/ldap/ldap.conf
Điều chỉnh giá trị của TLS_CACERT tùy chọn trỏ đến tệp chúng tôi vừa tạo:
/etc/ldap/ldap.conf
. . . TLS_CACERT /etc/ldap/ca_certs.pem . . .
Lưu và đóng tập tin.
Bây giờ bạn có thể nâng cấp kết nối của mình để sử dụng STARTTLS bằng cách chuyển -Z tùy chọn khi sử dụng các tiện ích OpenLDAP. Bạn có thể bắt buộc nâng cấp STARTTLS bằng cách chuyển nó hai lần. Kiểm tra điều này bằng cách gõ:
ldapwhoami -H ldap:// -x -ZZ
Điều này buộc nâng cấp STARTTLS. Nếu điều này thành công, bạn sẽ thấy:
STARTTLS success
anonymous
Nếu bạn định cấu hình sai nội dung nào đó, có thể bạn sẽ thấy lỗi như sau:
STARTTLS failure
ldap_start_tls: Connect error (-11)
additional info: (unknown error code)
Định cấu hình ứng dụng khách từ xa
Nếu bạn đang kết nối với máy chủ OpenLDAP của bạn từ các máy chủ từ xa, bạn sẽ cần phải hoàn thành một quá trình tương tự. Trước tiên, bạn phải sao chép chứng chỉ CA vào máy khách. Bạn có thể làm điều này dễ dàng với scp tiện ích.
Chuyển tiếp Khóa SSH tới Ứng dụng khách
Nếu bạn kết nối với máy chủ OpenLDAP bằng cách sử dụng các khóa SSH và máy khách của bạn cũng là điều khiển từ xa, bạn sẽ cần thêm chúng vào một tác nhân và chuyển tiếp chúng khi kết nối với máy khách của bạn.
Để thực hiện việc này, trên máy cục bộ của bạn, hãy khởi động tác nhân SSH bằng cách gõ:
eval $(ssh-agent)
Thêm khóa SSH của bạn vào tác nhân bằng cách nhập:
ssh-add
Bây giờ, bạn có thể chuyển tiếp các khóa SSH của mình khi bạn kết nối với máy khách LDAP bằng cách thêm -A cờ:
ssh -A user@ldap_client
Sao chép Chứng chỉ CA
Khi bạn đã kết nối với máy khách OpenLDAP, bạn có thể sao chép chứng chỉ CA bằng cách gõ:
scp user@ldap.example.com:/etc/ssl/certs/ca_server.pem ~/
Bây giờ, hãy thêm chứng chỉ đã sao chép vào danh sách chứng chỉ CA mà ứng dụng khách biết. Thao tác này sẽ thêm chứng chỉ vào tệp nếu nó đã tồn tại và sẽ tạo tệp nếu nó không:
cat ~/ca_server.pem | sudo tee -a /etc/ldap/ca_certs.pem
Điều chỉnh cấu hình máy khách
Tiếp theo, chúng ta có thể điều chỉnh tệp cấu hình chung cho các tiện ích LDAP để trỏ đến ca_certs.pem tập tin. Mở tệp bằng sudo đặc quyền:
sudo nano /etc/ldap/ldap.conf
Tìm TLS_CACERT và đặt nó vào ca_certs.pem tập tin:
/etc/ldap/ldap.conf
. . . TLS_CACERT /etc/ldap/ca_certs.pem . . .
Lưu và đóng tệp khi bạn hoàn tất.
Kiểm tra nâng cấp STARTTLS bằng cách gõ:
ldapwhoami -H ldap://ldap.example.com -x -ZZ
Nếu nâng cấp STARTTLS thành công, bạn sẽ thấy:
STARTTLS success
anonymous
Buộc kết nối để sử dụng TLS (Tùy chọn)
Chúng tôi đã cấu hình thành công máy chủ OpenLDAP của chúng tôi để nó có thể liên tục nâng cấp các kết nối LDAP bình thường lên TLS thông qua quy trình STARTTLS. Tuy nhiên, điều này vẫn cho phép các phiên không được mã hóa, có thể không phải là những gì bạn muốn.
Nếu bạn muốn nâng cấp STARTTLS cho mọi kết nối, bạn có thể điều chỉnh cài đặt của máy chủ. Chúng tôi sẽ chỉ áp dụng yêu cầu này cho DIT thông thường, chứ không phải DIT cấu hình có thể truy cập bên dưới cn=config mục nhập.
Trước tiên, bạn cần phải tìm mục nhập thích hợp để sửa đổi. Chúng tôi sẽ in danh sách tất cả các DIT (cây thông tin thư mục: các phân cấp của các mục mà máy chủ LDAP xử lý) rằng máy chủ OpenLDAP có thông tin về cũng như mục nhập cấu hình mỗi DIT.
Trên máy chủ OpenLDAP của bạn, hãy nhập:
sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "(olcSuffix=*)" dn olcSuffix
Câu trả lời sẽ trông giống như sau:
DITs Served by OpenLDAP
dn: olcDatabase={1}hdb,cn=config
olcSuffix: dc=example,dc=com
Bạn có thể có nhiều cặp DIT và cơ sở dữ liệu hơn nếu máy chủ của bạn được định cấu hình để xử lý nhiều hơn một DIT. Ở đây, chúng tôi có một DIT đơn lẻ với mục nhập cơ bản là dc=example,dc=com, đó sẽ là mục nhập được tạo cho một miền example.com. Cấu hình DIT này được xử lý bởi olcDatabase={1}hdb,cn=config mục nhập. Lưu ý các DN của DIT mà bạn muốn ép buộc mã hóa.
Chúng tôi sẽ sử dụng một tệp LDIF để thực hiện các thay đổi. Tạo tệp LDIF trong thư mục chính của bạn. Chúng tôi sẽ gọi nó forcetls.ldif:
nano ~/forcetls.ldif
Bên trong, nhắm mục tiêu DN mà bạn muốn ép buộc TLS. Trong trường hợp của chúng tôi, điều này sẽ dn: olcDatabase={1}hdb,cn=config. Chúng tôi sẽ thiết lập changetype để "sửa đổi" và thêm olcSecurity thuộc tính. Đặt giá trị của thuộc tính thành "tls = 1" để buộc TLS cho DIT này:
forcetls.ldif
dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1
Lưu và đóng tệp khi bạn hoàn tất.
Để áp dụng thay đổi, hãy nhập:
sudo ldapmodify -H ldapi:// -Y EXTERNAL -f forcetls.ldif
Tải lại dịch vụ OpenLDAP bằng cách gõ:
sudo service slapd force-reload
Bây giờ, nếu bạn tìm kiếm dc=example,dc=com DIT, bạn sẽ bị từ chối nếu bạn không sử dụng -Z tùy chọn để bắt đầu nâng cấp STARTTLS:
ldapsearch -H ldap:// -x -b "dc=example,dc=com" -LLL dn
TLS required failure
Confidentiality required (13) Additional information: TLS confidentiality required
Chúng tôi có thể chứng minh rằng các kết nối STARTTLS vẫn hoạt động chính xác:
ldapsearch -H ldap:// -x -b "dc=example,dc=com" -LLL -Z dn
TLS required success
dn: dc=example,dc=com dn: cn=admin,dc=example,dc=com
Phần kết luận
Bây giờ bạn sẽ có một máy chủ OpenLDAP được cấu hình với mã hóa STARTTLS. Mã hóa kết nối của bạn với máy chủ OpenLDAP bằng TLS cho phép bạn xác minh danh tính của máy chủ mà bạn đang kết nối. Nó cũng bảo vệ lưu lượng truy cập của bạn từ các bên trung gian. Khi kết nối qua mạng mở, việc mã hóa lưu lượng truy cập của bạn là điều cần thiết.
