68 lines
2.4 KiB
Markdown
68 lines
2.4 KiB
Markdown
# SSL
|
|
|
|
## Référence
|
|
|
|
📖 Support Ch 7 (p97)
|
|
|
|
|
|
## Démonstration préalable:
|
|
|
|
lancer un wireshark sur le poste client, avec comme filtre _port 389_
|
|
|
|
faire une requète ldap authentifiée. Constater la présence du mot de passe et DN de connexion en clair
|
|
|
|
|
|
## Création du certificat
|
|
|
|
### Certificat autosigné
|
|
|
|
Suivre la procédure slide 97.
|
|
|
|
⚠️ Bien faire attention aux permissions sur les fichiers, l'utilisateur _ldap_ doit pouvoir les lire.
|
|
|
|
### Certificat letsencrypt
|
|
|
|
```bash
|
|
sudo systemctl stop httpd
|
|
sudo dnf install certbot -y
|
|
sudo certbot certonly --standalone -d CHANGEME.formation.opendoor.fr -m formation@opendoor.fr --agree-tos --test-cert
|
|
# répondre N à la question
|
|
sudo systemctl start httpd
|
|
```
|
|
⚠️ Attention, pour que le certificat (de test) soit reconnu, il faudra que le client télécharge la clé publique de la CA:
|
|
|
|
```bash
|
|
curl https://letsencrypt.org/certs/staging/letsencrypt-stg-root-x1.pem -L | sudo tee -a /etc/openldap/certs/ca.pem
|
|
echo TLS_CACERT /etc/openldap/certs/ca.pem | sudo tee -a /etc/openldap/ldap.conf
|
|
```
|
|
|
|
Attention également aux permissions. L'utilisateur _ldap_ doit pouvoir lire les différents fichiers:
|
|
|
|
```bash
|
|
sudo chgrp -R ldap /etc/letsencrypt/{archive,live}
|
|
sudo chmod -R g+rX /etc/letsencrypt/{archive,live}
|
|
```
|
|
|
|
## Configurer le serveur
|
|
|
|
La configuration est globale au serveur (1 certificat par serveur). Elle se fait donc au niveau de la branche _cn=config_
|
|
|
|
Mettez au point le fichier ldif permettant de remplacer les attributs suivants par la bonne valeur (qui dépend de la méthode utilisée pour créer les certificats)
|
|
|
|
- olcTLSCipherSuite : ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL | idem |
|
|
- olcTLSProtocolMin : 3.4 | idem |
|
|
- olcTLSCACertificateFile : /etc/openldap/certs/ca.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem
|
|
- olcTLSCertificateFile : /etc/openldap/certs/cert.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem
|
|
- olcTLSCertificateKeyFile : /etc/openldap/certs/key.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/privkey.pem
|
|
|
|
## Configurer le client
|
|
|
|
Dans le fichier /etc/openldap/ldap.conf modifier l'_URI_, _TLS_REQCERT_ et _TLS_CACERT_ afin de forcer l'utilisation de ssl, avec vérification du certificat
|
|
|
|
## Test
|
|
|
|
On doit pouvoir se connecter de manière sécurisé au serveur
|
|
|
|
Wireshark ne doit voir passer que des paquets TLS 1.3 application_data
|
|
|