tom/ldx_ssl
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity
1 Commit 2 Branches 0 Tags
282ea7e97dd28967a2672569a2acceaa3a0b7767
Go to file
Clone
Open with VS Code Open with VSCodium Open with Intellij IDEA
Download ZIP Download TAR.GZ Download BUNDLE
Thomas Constans 282ea7e97d solution
2022-11-24 14:05:54 +01:00
Readme.md
solution
2022-11-24 14:05:54 +01:00
ssl_le.ldif
solution
2022-11-24 14:05:54 +01:00
ssl.ldif
solution
2022-11-24 14:05:54 +01:00

Readme.md

SSL

Démonstration préalable:

lancer un wireshark sur le poste client, avec comme filtre port 389

faire une requète ldap authentifiée. Constater la présence du mot de passe et DN de connexion en clair

Création du certificat

Certificat autosigné

Suivre la procédure slide 97.

⚠️ Bien faire attention aux permissions sur les fichiers, l'utilisateur ldap doit pouvoir les lire.

Certificat letsencrypt

systemctl stop httpd
dnf install certbot -y
certbot certonly --standalone  -d CHANGEME.formation.opendoor.fr -m formation@opendoor.fr --agree-tos --test-cert
# répondre N à la question
systemctl start httpd

⚠️ Attention, pour que le certificat (de test) soit reconnu, il faudra que le client télécharge la clé publique de la CA:

curl https://letsencrypt.org/certs/staging/letsencrypt-stg-root-x1.pem -L  >> /etc/openldap/certs/ca.pem
echo TLS_CACERT /etc/openldap/certs/ca.pem >> /etc/openldap/ldap.conf

Attention également aux permissions. L'utilisateur ldap doit pouvoir lire les différents fichiers:

chgrp -R ldap chgrp ldap /etc/letsencrypt/{archive,live}
chmod -R g+rX /etc/letsencrypt/{archive,live}

dn: cn=config
changetype: modify
replace: olcTLSCipherSuite
olcTLSCipherSuite: ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL
-
replace: olcTLSProtocolMin
olcTLSProtocolMin: 3.4
-
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/certs/ca.pem
#LETsEncrypt: olcTLSCACertificateFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/cert.pem
#LETsEncrypt: olcTLSCertificateFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem
-
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/key.pem
#LETsEncrypt: olcTLSCertificateKeyFile: /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/privkey.pem

Configurer le client

dans le fichier /etc/openldap/ldap.conf modifier l'URI, TLS_REQCERT et TLS_CACERT

Test

On doit pouvoir se connecter de manière sécurisé au serveur

Wireshark ne doit voir passer que des paquets TLS 1.3 application_data

Reference in New Issue View Git Blame Copy Permalink
Description
No description provided
Readme 35 KiB