OpenLDAP mit Let's Encrypt absichern

Zertifiziert

Vor allem ältere LDAP-Verzeichnisdienste sind noch nicht umfassend mit TLS abgesichert, insbesondere wenn sie nur im Intranet ihre Dienste anbieten. Der Security-Tipp in diesem Monat zeigt, wie Sie Ihre OpenLDAP-Installation mit einem Let's-Encrypt-Zertifikat absichern.
Was liegt näher, als immer wiederkehrende Aufgaben mit Skripten zu automatisieren. Das reduziert den Arbeitsaufwand wie auch die Fehleranfälligkeit. In der ... (mehr)

Version 1.0 von OpenLDAP wurde 1998 veröffentlicht. Die kurz zuvor als RFC 2251 vorgestellte Version 3 des Lightweight Directory Access Protocol (LDAPv3) wurde dabei noch nicht berücksichtigt. Schon kurz nach der Veröffentlichung von OpenLDAP begann der Erfolg der Implementierung. Viele Verzeichnisdienste, die heute in Unternehmen zur Authentifikation von Personen oder für die Zuordnung von Eigenschaften wie Hardware zum Einsatz kommen, sind von dieser Zeit bis heute gewachsen. Neben der Umsetzung von LDAPv3 und damit der Einführung von TLS/SSL-Unterstützung für Version 2.0 war die Einführung der Konfigurationsdatenbank in Version 2.3 eine der maßgeblichen Änderungen in der Entwicklung. Seit 2005 lässt sich damit die Konfiguration des Dienstes in dem Verzeichnis selbst speichern. Das erlaubt insbesondere die Anpassung von Konfigurationsparametern über LDAP selbst. Das Bearbeiten von Textdateien zur Konfiguration ist damit (fast) überflüssig geworden. Nur noch ältere Erweiterungen benötigen die Konfiguration mittels Textdateien. Bei Anpassungen der Konfigurationsdatenbank werden durchgeführte Änderungen unmittelbar aktiv, Diensteneustarts oder spezielle Updatekommandos sind damit ebenfalls überflüssig.

Diesem Artikel liegt OpenLDAP in der aktuellen Version 2.4.45 zugrunde. Die im Juni 2017 veröffentlichte Version behebt dabei noch einige Probleme bei der Replizierung über GnuTLS oder der Verwendung von OpenSSL in Version 1.1. Falls nötig, sollten Sie also die aktuelle Version installieren.

Let's-Encrypt-Zertifikat nutzen

Für die Absicherung mit TLS möchten wir ein Let's-Encrypt-Zertifikat verwenden. Der Servername des OpenLDAP-Servers könnte "ldap.it-administrator.de" lauten. Damit die Let's-Encrypt-Server Ihre Domain auflösen können, müssen Sie diese im öffentlichen DNS registrieren, falls Sie den Dienst bisher nur im internen DNS aufgelöst haben.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite