OpenLDAP mit Let's Encrypt absichern

Version 1.0 von OpenLDAP wurde 1998 veröffentlicht. Die kurz zuvor als RFC 2251 vorgestellte Version 3 des Lightweight Directory Access Protocol (LDAPv3) wurde dabei noch nicht berücksichtigt. Schon kurz nach der Veröffentlichung von OpenLDAP begann der Erfolg der Implementierung. Viele Verzeichnisdienste, die heute in Unternehmen zur Authentifikation von Personen oder für die Zuordnung von Eigenschaften wie Hardware zum Einsatz kommen, sind von dieser Zeit bis heute gewachsen. Neben der Umsetzung von LDAPv3 und damit der Einführung von TLS/SSL-Unterstützung für Version 2.0 war die Einführung der Konfigurationsdatenbank in Version 2.3 eine der maßgeblichen Änderungen in der Entwicklung. Seit 2005 lässt sich damit die Konfiguration des Dienstes in dem Verzeichnis selbst speichern. Das erlaubt insbesondere die Anpassung von Konfigurationsparametern über LDAP selbst. Das Bearbeiten von Textdateien zur Konfiguration ist damit (fast) überflüssig geworden. Nur noch ältere Erweiterungen benötigen die Konfiguration mittels Textdateien. Bei Anpassungen der Konfigurationsdatenbank werden durchgeführte Änderungen unmittelbar aktiv, Diensteneustarts oder spezielle Updatekommandos sind damit ebenfalls überflüssig.

Diesem Artikel liegt OpenLDAP in der aktuellen Version 2.4.45 zugrunde. Die im Juni 2017 veröffentlichte Version behebt dabei noch einige Probleme bei der Replizierung über GnuTLS oder der Verwendung von OpenSSL in Version 1.1. Falls nötig, sollten Sie also die aktuelle Version installieren.

Let's-Encrypt-Zertifikat nutzen

Für die Absicherung mit TLS möchten wir ein Let's-Encrypt-Zertifikat verwenden. Der Servername des OpenLDAP-Servers könnte "ldap.it-administrator.de" lauten. Damit die Let's-Encrypt-Server Ihre Domain auflösen können, müssen Sie diese im öffentlichen DNS registrieren, falls Sie den Dienst bisher nur im internen DNS aufgelöst haben.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.