OpenLDAP Hakkinda Bilinmesi Gerekenler

Sadece OpenLDAP kurulumunda bir sikinti yok , rpm veya apt ile ilgili openldap , openldap-servers ve openldap-clients paketlerini kullandiniz linux dagitimina gore kurmaniz yeterli ama benim konum bu degil …

Konfig Dosyalari :

  •  /etc/sysconfig/ldap –> Kendisi openldap client konfigrasyon dosyasi , bu dosya uzerindeki tum degisiklikler aninda devreye girer herhangi restart edilecek veya acip kapatilacak bir deamon yok
  • /etc/openldap/slapd.conf –> Kendisi openldap server konfigrasyon dosyasi , restart gereksinimi duyariz bu dosya uzerindeki degisikliklerde
  • Eger slapd konfigrasyon dosyasini kontrol etmek istiyorsaniz “slaptest -u” komutunu cli> da calistirmaniz yeterli
  • OpenLDAP 2.4 ile beraber slapd servisini resetlemeden konfigrayonda degisiklik yapmak icin “cn=config” adinda bir format var ki kendisini /etc/openldap/slapd.d altinda bulabilirsiniz
  • Mesela /etc/openldap/slapd.d/cn=config/ alintda DB veya monitoring’i editleyin …
  • Elimizdeki slapd.conf’dan “cn=config” olusturmak icin “slaptest -f /yol/su/slapd.conf -F /etc/openldap/slapd.d”  komutunu cli> da calistirmaniz yeterli (Unutmayin eger slapd.conf’u degistirdiyseniz ilgili /etc/openldap/slapd.d altindaki tum dosyalari silmelisiniz)
  • Komuta dokersek ;
    • rm -f /var/lib/ldap/*
      rm -rf /etc/openldap/slapd.d/*
      cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
  • chown -R ldap:ldap( /etc/openldap/slapd.d ve /var/lib/ldap) veya chown -Rf root:ldap (sertifika) mutlaka obur turlu ya openldap servisi calismaz veya sertifikayi okuyamaz

Eger TLS/SSL ile secure LDAP baglantisi yapmak iletisimi sifreli yapmak istiyorsaniz sertifika (self ve orjinal) ve bir iki konfigrasyona ihtiyac var.

Self-Signed Sertifikalar Icin ; 

  • Mutlaka ama mutlaka sunucu hostname ile yarattiginiz sertifikadaki hostname lere dikkat edin , en onemli konu. Eger hostname “ldap” ise sertifika yaratirken  “ldap” eger hostname “ldap.bilmemne.com” ise yine certifika yaratilirken “ldap.bilmemne.com” kullanmalisiniz.
  • SLAPD_LDAPS=yes
  • Sertifika yaratmak icin
    • openssl req -new -x509 -nodes -out /etc/pki/tls/certs/oveyabu.pem -keyout /etc/pki/tls/certs/oveyabu.pem -days 365 (Dikkat key de ayni dosyada)
  • Ilgili dizini her zaman kontrol edin /etc/pki/tls/certs/:) Guzel seyler bulabilirsiniz mesela “ca-bundle.crt”
  • Sertifikayi slapd.conf da tanitmak icin
    • TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
      TLSCertificateFile /etc/pki/tls/certs/oveyabu.pem
      TLSCertificateKeyFile /etc/pki/tls/certs/oveyabu.pem

LDAP CLI ile Kayit Girmek veya Yapiyi Olusturmak icin 

ldapadd -x -D “cn=admin,dc=bilmemne,dc=com” -W -f orjbase.ldif

Tahmin edebileceginiz gibi yaraticaginiz OU , Group , User artik ne ise bunlari bir ldif dosyasina gommeniz yeterli.

Yukardaki ornek daha yeni kurulmus bir ldap server ve basedn icin ayarlamalar yapilmis durumda dosya icersine

LDAP GUI ile Yonetmek icin

Eger centos kullaniyorsaniz once repo’yu genisletin (http://fedoraproject.org/wiki/EPEL) (lutfen dikkat ilgili linux versionuna ait rpm dosyasini indirin) ve phpldapadmin’i kurun

Test Yapmak / Debug Icin Gerekli Komutlar 

  • openssl s_client -connect localhost:636 -showcerts –> Eger hem secure baglantiyi hemde sertifikayi gormek istiyorsaniz
    • 636 varsayili ldap TLS/SSL portu
  • d1 veya d2 veya d3 bu parametreyi ldapsearch veya ldapadd ile calistirdiginizda debug amacli kullanabilirsiniz
  • ldapadd
  • ldapsearch
    • Meseka ldapsearch ile TLS / SSL baslatilabilir
      -Z Specifies that SSL is to be used for the search request.
      -ZZ Specifies the Start TLS request. Use this option to make a cleartext connection into a secure one. If the server does not support Start TLS, the command does not have to be aborted; it will continue in cleartext.
      -ZZZ Enforces the Start TLS request. The server must respond that the request was successful. If the server does not support Start TLS, such as Start TLS is not enabled or the certificate information is incorrect, the command is aborted immediately.

Hepsi bu … Kolay Gelsin …

Posted on 25/03/2016, in OpenLDAP and tagged , , , . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: