IT001

現場(環境): CentOS7 套件:OpenLDAP

原因:

原本的LDAP服務是走TCP-389沒有添加SSL憑證的方式進行，

現在要加上SSL憑證~走LDAPS的服務模式。(TCP-636)

處理方式：

LDAP的任何處理方式都比較建議用ldap的工具去建置或者修改。

Step 1. 將憑證放到openldap的資料夾路徑下

#mv [網址].crt /etc/openldap/certs/

#mv 網址].key /etc/openldap/certs/

Step 2. 編輯ldaps相關設定檔

在已經建置好LDAP的環境下，

我們添加一隻ldif，準備要用ldapmodify去針對LDAP服務做修改。

#cd /etc/openldap/

#vim mod_ssl.ldif

=設定檔內容=

# /etc/openldap/certs 為憑證放置的地方(可以自行設定路徑）

# [網址].crt → 憑證

# [網址].key → 金鑰

dn: cn=config

changetype: modify

add: olcTLSCACertificateFile

olcTLSCACertificateFile: /etc/openldap/certs/[網址].crt

-

replace: olcTLSCertificateFile

olcTLSCertificateFile: /etc/openldap/certs/[網址].crt

-

replace: olcTLSCertificateKeyFile

olcTLSCertificateKeyFile: /etc/openldap/certs/[網址].key

==========

Step 3. 透過ldapmodify 將設定檔寫入Openldap

#ldapmodify -Y EXTERNAL -H ldapi:/// -f mod_ssl.ldif

Step 4. 添加ldaps連線

#vim /etc/sysconfig/slapd

原本只有ldapi / ldap 這兩種方式。

現在要把ldaps 加進去。

接著將slapd服務重啟就正式啟用ldaps了。

#systemctl restart slapd

<本篇完>

後記：

參考網址內有附註說LDAP Client要連線時。還要調整設定檔。

這邊就要請大家再注意一下。

#echo "TLS_REQCERT allow" >> /etc/openldap/ldap.conf

#echo "tls_reqcert allow" >> /etc/nslcd.conf

參考網址：

https://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=4