tom/ldx_ssl
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity
Files
solution
ldx_ssl/Readme.md
Thomas Constans 84b5d5bbf8 solution
2022-11-24 14:46:18 +01:00

2.5 KiB
Raw Permalink Blame History

SSL

Démonstration préalable:

lancer un wireshark sur le poste client, avec comme filtre port 389

faire une requète ldap authentifiée. Constater la présence du mot de passe et DN de connexion en clair

Création du certificat

Certificat autosigné

Suivre la procédure slide 97.

⚠️ Bien faire attention aux permissions sur les fichiers, l'utilisateur ldap doit pouvoir les lire.

Certificat letsencrypt

systemctl stop httpd
dnf install certbot -y
certbot certonly --standalone  -d CHANGEME.formation.opendoor.fr -m formation@opendoor.fr --agree-tos --test-cert
# répondre N à la question
systemctl start httpd

⚠️ Attention, pour que le certificat (de test) soit reconnu, il faudra que le client télécharge la clé publique de la CA:

curl https://letsencrypt.org/certs/staging/letsencrypt-stg-root-x1.pem -L  >> /etc/openldap/certs/ca.pem
echo TLS_CACERT /etc/openldap/certs/ca.pem >> /etc/openldap/ldap.conf

Attention également aux permissions. L'utilisateur ldap doit pouvoir lire les différents fichiers:

chgrp -R ldap chgrp ldap /etc/letsencrypt/{archive,live}
chmod -R g+rX /etc/letsencrypt/{archive,live}

Configurer le serveur

dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL
-
replace: olcTLSProtocolMin
olcTLSProtocolMin: 3.4
-
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/certs/ca.pem
#LETsEncrypt: olcTLSCACertificateFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/cert.pem
#LETsEncrypt: olcTLSCertificateFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem
-
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/key.pem
#LETsEncrypt: olcTLSCertificateKeyFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/privkey.pem

Le cas échéant on ouvrira le parefeu:

firewall-cmd --add-service ldaps--permanent
firewall-cmd --add-service ldaps

Configurer le client

dans le fichier /etc/openldap/ldap.conf modifier l'URI, TLS_REQCERT et TLS_CACERT

URI ldaps://CHANGEME.formation.opendoor.fr
TLS_REQCERT demand
TLC_CACERT /etc/openldap/certs/ca.pem

Test

On doit pouvoir se connecter de manière sécurisé au serveur

lds -Z

Wireshark ne doit voir passer que des paquets TLS 1.3 application_data

Reference in New Issue View Git Blame Copy Permalink