• Blog
  • Cursos de Linux en Udemy
  • Certificaciones LPIC
  • Servidor de Discord
Antonio Sánchez CorbalánAntonio Sánchez Corbalán
  • Blog
  • Cursos de Linux en Udemy
  • Certificaciones LPIC
  • Servidor de Discord

¿Quieres aprender Linux?

¡Mira los mejores cursos de Linux!
  • Inicio
  • Blog
  • Tutoriales
  • Conexión segura al servidor LDAP usando TLS

Conexión segura al servidor LDAP usando TLS

  • Categorías Tutoriales
  • Fecha febrero 21, 0200

Hasta ahora hemos configurado el servidor OpenLDAP para intercambiar información sin tener en cuanta la seguridad de las conexiónes, pero si lo vamos a utilizar para intercambiar datos sensibles como lo es la gestión de cuentas del sistema, es muy recomendable que los datos viajen cifrados del servidor al cliente. Vamos a utilizar TLS ya que es la evolución de SSL y la opción recomendada.

Contenidos

  • Instalar paquetes para TLS y certificados
    • Crear certificados y claves
    • Configurar el servidor

Instalar paquetes para TLS y certificados

Generaremos nuestros propios certificados, por lo que necesitamos los siguientes paquetes:

apt-get install gnutls-bin ssl-cert

Crear certificados y claves

sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"

Creamos la plantilla con la información necesaria

nano /etc/ssl/ca.info

cn=curseame
ca
cert_signing_key

Creamos el certificado auto firmado

certtool --generate-self-signed --load-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/ca.info --outfile /etc/ssl/certs/cacert.pem

Ahora la clave privada del servidor

certtool --generate-privkey --bits 1024 --outfile /etc/ssl/private/debian_slapd_key.pem

Por último, la plantilla y el certificado del servidor

nano /etc/ssl/meso.info

organization = curseame
cn = curseame
tls_www_server
encryption_key
signing_key
expiration_days = 10000

Hemos puesto una cantida de días muy alta para la expiración. Se puede cambiar si es necesario.

Ahora creamos el certificado:

certtool --generate-certificate --load-privkey /etc/ssl/private/debian_slapd_key.pem --load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/debian.info --outfile /etc/ssl/certs/debian_slapd_cert.pem

Configurar el servidor

Vamos a crear un fichero .ldif con la información que tiene que insertarse en el servidor para que utilice los certificados que acabamos de crear
nano tls_conf.ldif

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
–
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/debian_slapd_cert.pem
–
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/debian_slapd_key.pem

Se la pasamos al servidor con el comando:

ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/tls_conf.ldif

Ahora tenemos que decirle que utilice esta conexión, vamos al fichero /etc/default/slapd y buscamos esta linea
SLAPD_SERVICES=”ldap:/// ldapi:///”

Si queremos añadirle el acceso seguro la dejarmos así:
SLAPD_SERVICES=”ldap:/// ldapi:/// ldaps:///”

Y si SOLO queremos que se pueda acceder de forma segura, quitamos las otras dos opciones:
SLAPD_SERVICES=”ldaps:///”

Ahora establecemos los permisos adecuados para la clave privada del servidor:

usermod -aG ssl-cert openldap
chgrp sll-cert /etc/ssl/private/debian_slapd_key.pem
chmod g+r /etc/ssl/private/debian_slapd_key.pem
chmod o-r /etc/ssl/private/debian_slapd_key.pem

Y finalmente, reiniciamos el servicio:

service slapd restart
  • Compartir:
A. Sánchez Corbalán
    Profesor de vocación. Desde hace más de 15 años imparto clases de informática a todo tipo de alumnado. También he trabajado como desarrollador web y administrador de sistemas Linux. Soy socio fundador de dos empresas tecnológicas que me ayudan a seguir evolucionando.

    Siguiente publicación

    Cómo realizar el examen para LPIC si ya he comprado el Voucher
    marzo 11, 2020

    Deja una respuesta Cancelar la respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

    Categorías

    • Linux
    • Shell Script
    • Soluciones
    • Tutoriales

    Todos los derechos reservados.

    • Privacy
    • Terms
    • Sitemap
    sanchezcorbalan.es utiliza cookies para mejorar la experiencia de los usuarios, facilitando la navegación por nuestra web. Para saber más sobre el uso que hacemos de las cookies, consulta nuestra Política sobre el uso de cookies.Aceptar
    Privacy & Cookies Policy

    Privacy Overview

    This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are as essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
    Necesarias Siempre activado

    Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.