From b6955ae0ab0e63a16c372595dd99c9c17a88edf3 Mon Sep 17 00:00:00 2001 From: Thomas Constans Date: Thu, 24 Nov 2022 14:15:52 +0100 Subject: [PATCH] instructions --- Readme.md | 43 ++++++++++++++++++++----------------------- ssl.ldif | 15 --------------- ssl_le.ldif | 16 ---------------- 3 files changed, 20 insertions(+), 54 deletions(-) delete mode 100644 ssl.ldif delete mode 100644 ssl_le.ldif diff --git a/Readme.md b/Readme.md index b977d59..6fb673e 100644 --- a/Readme.md +++ b/Readme.md @@ -7,7 +7,6 @@ lancer un wireshark sur le poste client, avec comme filtre _port 389_ faire une requète ldap authentifiée. Constater la présence du mot de passe et DN de connexion en clair - ## Création du certificat ### Certificat autosigné @@ -39,31 +38,29 @@ chgrp -R ldap chgrp ldap /etc/letsencrypt/{archive,live} chmod -R g+rX /etc/letsencrypt/{archive,live} ``` -```ldif -dn: cn=config -changetype: modify -replace: olcTLSCipherSuite -olcTLSCipherSuite: ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL -- -replace: olcTLSProtocolMin -olcTLSProtocolMin: 3.4 -- -replace: olcTLSCACertificateFile -olcTLSCACertificateFile: /etc/openldap/certs/ca.pem -#LETsEncrypt: olcTLSCACertificateFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem -- -replace: olcTLSCertificateFile -olcTLSCertificateFile: /etc/openldap/certs/cert.pem -#LETsEncrypt: olcTLSCertificateFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem -- -replace: olcTLSCertificateKeyFile -olcTLSCertificateKeyFile: /etc/openldap/certs/key.pem -#LETsEncrypt: olcTLSCertificateKeyFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/privkey.pem -``` +## Configuration du serveur + +La configuration est globale au serveur (1 certificat par serveur). Elle se fait donc au niveau de la branche _cn=config_ + +Mettez au point le fichier ldif permettant de remplacer les attributs suivants par la bonne valeur (qui dépend de la méthode utilisée pour créer les certificats) + +attribut | valeur procédure support | valeur procédure Let's Encrypt +--- +olcTLSCipherSuite | ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL | idem | +--- +olcTLSProtocolMin | 3.4 | idem | +--- +olcTLSCACertificateFile | /etc/openldap/certs/ca.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem +--- +olcTLSCertificateFile | /etc/openldap/certs/cert.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem +--- +olcTLSCertificateKeyFile | /etc/openldap/certs/key.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/privkey.pem +--- + ## Configurer le client -dans le fichier /etc/openldap/ldap.conf modifier l'_URI_, _TLS_REQCERT_ et _TLS_CACERT_ +Dans le fichier /etc/openldap/ldap.conf modifier l'_URI_, _TLS_REQCERT_ et _TLS_CACERT_ ## Test diff --git a/ssl.ldif b/ssl.ldif deleted file mode 100644 index ff63f10..0000000 --- a/ssl.ldif +++ /dev/null @@ -1,15 +0,0 @@ -# Mise en œuvre SSL -dn: cn=config -changetype: modify -replace: olcTLSCertificateFile -olcTLSCertificateFile: CHANGEME -- -replace: olcTLSCertificateKeyfile -olcTLSCertificateKeyfile: CHANGEME -- -replace: olctlsverifyclient -olctlsverifyclient: never -- -replace: olctlscacertificatefile -olctlscacertificatefile: CHANGEME - diff --git a/ssl_le.ldif b/ssl_le.ldif deleted file mode 100644 index e56bc81..0000000 --- a/ssl_le.ldif +++ /dev/null @@ -1,16 +0,0 @@ -dn: cn=config -changetype: modify -replace: olcTLSCipherSuite -olcTLSCipherSuite: ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL -- -replace: olcTLSProtocolMin -olcTLSProtocolMin: 3.4 -- -replace: olcTLSCACertificateFile -olcTLSCACertificateFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem -- -replace: olcTLSCertificateFile -olcTLSCertificateFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem -- -replace: olcTLSCertificateKeyFile -olcTLSCertificateKeyFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/privkey.pem \ No newline at end of file