389 Directory Server で TLS を有効化する手順です。LDAP は認証情報やディレクトリ情報を扱うため、内部ネットワーク向けであっても LDAPS または StartTLS を前提にする方が安全です。
参考
書籍
書籍
参考書籍
LDAP – 設定・管理・プログラミング
LDAP の基礎、ディレクトリ設計、検索、認証連携を体系的に確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
389 Directory Server シリーズ
前の記事: Ubuntu 22.04 389 Directory Server #1 – インスタンス作成と suffix 設計
次の記事: Ubuntu 22.04 389 Directory Server #3 – ベースエントリーの登録
TLS の考え方
LDAP は平文のままでも動作しますが、認証や属性情報を扱う場合は通信路を保護します。ここでは自己署名 CA または内部 CA で発行したサーバー証明書を 389 DS に登録する前提です。
pin.txt
証明書 DB の PIN を用意します。
sudo tee /etc/dirsrv/slapd-ldap01/pin.txt <<'EOF'
Internal (Software) Token:change-me
EOF
sudo chown dirsrv:dirsrv /etc/dirsrv/slapd-ldap01/pin.txt
sudo chmod 0400 /etc/dirsrv/slapd-ldap01/pin.txtCA 証明書の登録
sudo dsctl ldap01 tls import-ca /etc/pki/ca/example-ca.crt --name Example-CAサーバー証明書の登録
PKCS#12 形式の証明書を登録します。
sudo dsctl ldap01 tls import-server-key-cert /etc/pki/ldap/ldap01.p12TLS の有効化
sudo dsconf ldap01 security set --security on
sudo dsconf ldap01 security set --ssl-version-min TLS1.2
sudo dsctl ldap01 restart確認
ldapsearch -x -H ldaps://ldap.example.local -b dc=example,dc=local
openssl s_client -connect ldap.example.local:636 -showcertsまとめ
389 Directory Server は内部サービスから参照される基盤なので、TLS を後回しにしない方が安全です。特に Samba、Postfix、SSSD などから参照する場合、証明書の信頼配置も合わせて設計します。
Ubuntu 22.04 389 Directory Server #2 – TLS 有効化と LDAPS 設定
Related posts:
Ubuntu 22.04 389 Directory Server #1 – インスタンス作成と suffix 設計
Ubuntu 22.04 389 Directory Server #3 – ベースエントリーの登録
Ubuntu 22.04 389 Directory Server #4 – BIND ユーザーとアクセス制御
Ubuntu 22.04 389 Directory Server #5 – グループとユーザーの登録
Windows Server 2019 Active Directory で LDAPS を有効化する手順
CentOS 7 LDAP クライアント設定 – authconfig と nslcd の LDAPS 接続
Mac で Apache Directory Studio が起動しない時の確認点 – Apple Silicon、Java、LDAP / LDAPS
CentOS 8 389 Directory Server 構築 #1 – 導入と TLS 証明書の登録
CentOS 8 389 Directory Server と Samba – LDAP スキーマ連携の基本
Ubuntu 22.04 Apache TLS – 内部 CA 証明書で HTTPS を有効化する
EAP-TLS と EAP-TTLS 何が違う?
CentOS 8 389 Directory Server 構築 #2 – 初期データ登録