LDAPS dans une machine virtuelle
Installation d'un server LDAPS sur SERF
Sur la machine virtuelle SERF.
Installation des librairies et utilitaires pour LDAPS.
ldap:~# aptitude install slapd ldap-utils
ldap:~# aptitude install install gnutls-bin
Création du certificat auto signé
Le certificat doit être contenu dans /etc/ldap/ssl
ldap:/etc/ldap/ssl# certtool --generate-self-signed --load-privkey ca-key.pem --outfile ca-cert.pem
Modifier la configuration de sldap.conf pour ajouter l'emplacement des fichiers contenant les certificats.
ldap:/etc/ldap# cat slapd.conf
...
TLSCertificateKeyFile /etc/ldap/ssl/ca-key.pem
TLSCertificateFile /etc/ldap/ssl/ca-cert.pem
Relancer le serveur
ldap:~# /etc/init.d/slapd restart
Copie du certificat dans la machine cliente
ldap:/etc/ldap/ssl# scp ca-cert.pem root@vpsnnnnnn.ovh.net:/etc/ldap/ssl/.
Configuration du client LDAP sur la machine SERF
ldap:/etc/ldap# cat ldap.conf
#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
#BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
URI ldap:/// ldaps:///
TLS_REQCERT hard
TLS_CACERT /etc/ldap/ssl/ca-cert.pem
Créer une entrée DNS pour ldap.osca.dev
Ajouter une adresse dans le DNS externe. L'enregistrement sera
ldap.osca.dev nnn.mm.p.q.
soit l'adresse du dns externe.
Configuration du parefeu NetASQ
Les règles du parefeu (NAT) sont modifiées afin de diriger le trafic de l'adresse nnn.mm.p.q port 636 vers la machine virtuelle SERF qui héberge le serveur LDAP over TLS.
Faire un test depuis le client de SERF
ldap:~# ldapsearch -LLL -b "cn=CHATEAU-ANNAUD Dominique,ou=annuaire,o=osca,dc=dev" -cxWD "cn=GrandMaster,ou=ressources,o=osca,dc=dev"
Enter LDAP Password:_
On doit saisir le mot de passe.
Faire un test sur le client de vpsnnnnnn.ovh.net
ldapsearch -H ldaps://ldap.osca.dev:636 -LLL -b "cn=CHATEAU-ANNAUD Dominique,ou=annuaire,o=osca,dc=dev" -cxWD "cn=GrandMaster,ou=ressources,o=osca,dc=dev"
Enter LDAP Password:_
On doit saisir le mot de passe.