Geänderte TLS-Konfiguration bei OpenLDAP

Fliegender Wechsel

OpenLDAP ist einer der bekanntesten LDAP-Server und erfreut sich nach wie vor großer Beliebtheit. In letzter Zeit häufen sich allerdings Problemfälle im Bereich der TLS-Konfiguration auf Fedora-basierten Installationen. Der Open-Source-Tipp in diesem Monat nimmt das Problem etwas genauer unter die Lupe.
Die Vorteile der Cloud liegen auf der Hand in Form schnell verfügbarer IT-Ressourcen, um deren Betrieb sich der Administrator nur noch eingeschränkt kümmern ... (mehr)

Möchten Administratoren Ihre Benutzer zentral über einen LDAP-Server verwalten, kommen im Open-Source-Umfeld zumeist der 389-ds oder der OpenLDAP-Server zum Einsatz. Während 389-ds federführend von Red Hat entwickelt wird, wird Open­LDAP primär in einer Upstream Community entwickelt. Für den Einsatz von X.509-Zertifikaten kann OpenLDAP sowohl auf die OpenSSL-, GnuTLS- als auch die MozNSS-Bibliotheken zurückgreifen.

Auf Red-Hat-Systemen hat man sich bereits vor langer Zeit für den Einsatz von MozNSS entschieden. Diese Entscheidung ist naheliegend, da andere Softwarepakete wie 389-ds ebenfalls mit MozNSS zusammenarbeiten. Fedora 28 ist aber wieder auf OpenSSL gewechselt, da die Upstream-Community schon seit längerer Zeit den MozNSS-Layer nicht mehr unterstützt und den Einsatz von OpenSSL bevorzugt, was die Pflege von OpenLDAP in Fedora in den letzten Jahren erheblich erschwert hat.

Der Übergang von MozNSS zu OpenSSL ist allerdings nicht ganz trivial. Das liegt unter anderem auch daran, dass MozNSS für das Speichern von Zertifikatsdaten auf NSS-Datenbanken zurückgreift, OpenSSL hingegen diese Daten in PEM-Dateien verwaltet. Des Weiteren erwartet OpenSSL, dass Dateien, in denen einzelne Zertifikate von Certificate Authorities (CA) abgelegt sind, über einen Hash-Link verfügen. Diese Links verwenden dabei den Hash-Wert des Zertifikat-Subjekts als Dateinamen und zeigen auf die eigentlichen CA-Zertifikatsdateien. Erzeugt werden diese Links üblicherweise mit dem Tool cacertdir_rehash:

# cacertdir_rehash /etc/ipa/
# ls -l /etc/ipa/
total 12
lrwxrwxrwx. 1 root root 6 Dec 3 16:22 caac345f.0 -> ca.crt

Mit Hilfe von OpenSSL lässt sich der korrekte Hash-Wert verifizieren:

# openssl x509 -hash -noout -in /etc/ipa/ca.crt
caac345f

Migration

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

OpenLDAP mit Let's Encrypt absichern

Vor allem ältere LDAP-Verzeichnisdienste sind noch nicht umfassend mit TLS abgesichert, insbesondere wenn sie nur im Intranet ihre Dienste anbieten. Der Security-Tipp in diesem Monat zeigt, wie Sie Ihre OpenLDAP-Installation mit einem Let's-Encrypt-Zertifikat absichern.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019