tom/ldx_ssl
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity
Files
b6955ae0ab0e63a16c372595dd99c9c17a88edf3
ldx_ssl/Readme.md
Thomas Constans b6955ae0ab instructions
2022-11-24 14:15:52 +01:00

71 lines
2.3 KiB
Markdown
Raw Blame History

# SSL
## Démonstration préalable:
lancer un wireshark sur le poste client, avec comme filtre _port 389_
faire une requète ldap authentifiée. Constater la présence du mot de passe et DN de connexion en clair
## Création du certificat
### Certificat autosigné
Suivre la procédure slide 97.
⚠️ Bien faire attention aux permissions sur les fichiers, l'utilisateur _ldap_ doit pouvoir les lire.
### Certificat letsencrypt
```bash
systemctl stop httpd
dnf install certbot -y
certbot certonly --standalone -d CHANGEME.formation.opendoor.fr -m formation@opendoor.fr --agree-tos --test-cert
# répondre N à la question
systemctl start httpd
```
⚠️ Attention, pour que le certificat (de test) soit reconnu, il faudra que le client télécharge la clé publique de la CA:
```bash
curl https://letsencrypt.org/certs/staging/letsencrypt-stg-root-x1.pem -L >> /etc/openldap/certs/ca.pem
echo TLS_CACERT /etc/openldap/certs/ca.pem >> /etc/openldap/ldap.conf
```
Attention également aux permissions. L'utilisateur _ldap_ doit pouvoir lire les différents fichiers:
```bash
chgrp -R ldap chgrp ldap /etc/letsencrypt/{archive,live}
chmod -R g+rX /etc/letsencrypt/{archive,live}
```
## Configuration du serveur
La configuration est globale au serveur (1 certificat par serveur). Elle se fait donc au niveau de la branche _cn=config_
Mettez au point le fichier ldif permettant de remplacer les attributs suivants par la bonne valeur (qui dépend de la méthode utilisée pour créer les certificats)
attribut | valeur procédure support | valeur procédure Let's Encrypt
---
olcTLSCipherSuite | ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL | idem |
---
olcTLSProtocolMin | 3.4 | idem |
---
olcTLSCACertificateFile | /etc/openldap/certs/ca.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem
---
olcTLSCertificateFile | /etc/openldap/certs/cert.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem
---
olcTLSCertificateKeyFile | /etc/openldap/certs/key.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/privkey.pem
---
## Configurer le client
Dans le fichier /etc/openldap/ldap.conf modifier l'_URI_, _TLS_REQCERT_ et _TLS_CACERT_
## Test
On doit pouvoir se connecter de manière sécurisé au serveur
Wireshark ne doit voir passer que des paquets TLS 1.3 application_data
Reference in New Issue View Git Blame Copy Permalink