| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| centos:ldap_c7:ldaps [16.07.2015 14:03. ] – [ldap.conf] django | centos:ldap_c7:ldaps [22.07.2019 15:03. ] (aktuell) – Externe Bearbeitung 127.0.0.1 |
|---|
| ====== TLS-Absicherung des OpenLDAP-Servers - LDAPs-Konfiguration unter CentOS 7.x ====== | ====== TLS-Absicherung des OpenLDAP-Servers - LDAPs-Konfiguration unter CentOS 7.x ====== |
| {{:centos:ldap-logo.png?nolink&167 |OpenLDAP Logo}} | {{:centos:ldap-logo.png?nolink&167 |OpenLDAP Logo}} |
| | |
| {{ :centos:world.png?nolink&80|Bild: Weltkugel }} \\ | {{ :centos:world.png?nolink&80|Bild: Weltkugel }} \\ |
| Dass das Internet systembedingt unsicher ist, hat sich in aller Regel herumgesprochen. Daten durchlaufen von der Quelle bis zum Ziel zahlreiche Server und Systeme, an denen die Daten, abgegriffen und/oder manipuliert werden können und das nicht nur bei Übertragungen im Internet , sondern auch im **[[https://de.wikipedia.org/wiki/Intranet|Intranet]]**! Persönliche und vertrauliche Daten, wie z.B. Anmeldenamen und Passwörter, können so einfach Dritten in die Hände fallen, die mit grosser krimineller Energie versuchen an diese Daten zu kommen. | Dass das Internet systembedingt unsicher ist, hat sich in aller Regel herumgesprochen. Daten durchlaufen von der Quelle bis zum Ziel zahlreiche Server und Systeme, an denen die Daten, abgegriffen und/oder manipuliert werden können und das nicht nur bei Übertragungen im Internet , sondern auch im **[[https://de.wikipedia.org/wiki/Intranet|Intranet]]**! Persönliche und vertrauliche Daten, wie z.B. Anmeldenamen und Passwörter, können so einfach Dritten in die Hände fallen, die mit grosser krimineller Energie versuchen an diese Daten zu kommen. |
| {{ :centos:mailserver:lan_security.png?96|SSL/TLS Logo}} Für die vertrauliche Kommunikation zwischen unseren Usern und unserm [[http://www.openldap.org|OpenLDAP-Server]] bietet sich eine verschlüsselte Kommunikation mit Hilfe von **SSL/TLS** an. | {{ :centos:mailserver:lan_security.png?96|SSL/TLS Logo}} Für die vertrauliche Kommunikation zwischen unseren Usern und unserm [[http://www.openldap.org|OpenLDAP-Server]] bietet sich eine verschlüsselte Kommunikation mit Hilfe von **SSL/TLS** an. |
| |
| Mit Hilfe von **[[centos:XXX?&#perfect_forward_secrecy|PFS]]**((**P**erfect **F**orward **S**ecrecy)) können wir leicht und einfach sicherstellen, dass aufgezeichnete Datenströme im nach hinein nicht entschlüsselt werden können. Dies wird erreicht, da die beiden Kommunikationspartner, einen separaten und individuellen temporären Schlüssel zur Datensicherung verwenden. Dieser Schlüssel ist dabei nicht fix, sondern wird bei jeder Verbindung neu ausgehandelt. Da aber der Schlüssel an sich nicht ausgetauscht werden muss, ist es auch nicht möglich, den eventuell aufgezeichneten Datenstrom zu entschlüsseln, da der dazu benötigte Schlüssel nicht im Datenstrom enthalten war. | Mit Hilfe von **[[centos:ldap_c7:ldaps?do=edit#tls_diffie-hellman_parameter|PFS]]**((**P**erfect **F**orward **S**ecrecy)) können wir leicht und einfach sicherstellen, dass aufgezeichnete Datenströme im nach hinein nicht entschlüsselt werden können. Dies wird erreicht, da die beiden Kommunikationspartner, einen separaten und individuellen temporären Schlüssel zur Datensicherung verwenden. Dieser Schlüssel ist dabei nicht fix, sondern wird bei jeder Verbindung neu ausgehandelt. Da aber der Schlüssel an sich nicht ausgetauscht werden muss, ist es auch nicht möglich, den eventuell aufgezeichneten Datenstrom zu entschlüsseln, da der dazu benötigte Schlüssel nicht im Datenstrom enthalten war. |
| |
| Perfect Forward Secrecy (PFS) basiert auf der Idee, dass Client und Server ihre Kommunikation über einen zusätzlichen temporären Schlüssel absichern, der wechselt. Da der Verbindungsaufbau so gestrickt ist, daß der Schlüssel selbst gar nicht ausgetauscht werden muß, kann der jeweils benutzte Sitzungsschlüssel selbst auch nicht aufgezeichnet werden. Eine nachträgliche Entschlüsselung einer früher aufgezeichneten Session ist damit nicht mehr möglich. | Perfect Forward Secrecy (PFS) basiert auf der Idee, dass Client und Server ihre Kommunikation über einen zusätzlichen temporären Schlüssel absichern, der wechselt. Da der Verbindungsaufbau so gestrickt ist, daß der Schlüssel selbst gar nicht ausgetauscht werden muß, kann der jeweils benutzte Sitzungsschlüssel selbst auch nicht aufgezeichnet werden. Eine nachträgliche Entschlüsselung einer früher aufgezeichneten Session ist damit nicht mehr möglich. |
| Wollen wir von unserem Server aus, mittels **ldapsearch** muss natürlich der Client auch wissen, wie er das bzw. die Zertifikate auf das Vertrauen hin prüfen soll. | Wollen wir von unserem Server aus, mittels **ldapsearch** muss natürlich der Client auch wissen, wie er das bzw. die Zertifikate auf das Vertrauen hin prüfen soll. |
| |
| Wir werden daher in der Konfigurationsdatei des LDAP-Clients vermerken, dass die im Abschnitt **[[centos:ldap_c7:ldaps?&#import-beispiel_am_cacert_root-zertifikat|]]** erstellte Datei mit den vertrauenswürdigen Root-Zertifikaten verwenden soll. | Wir werden daher in der Konfigurationsdatei des LDAP-Clients vermerken, dass die im Abschnitt **[[centos:ldap_c7:ldaps?&#vertrauensmodelle_in_public-key-infrastrukturen|CA Trust Vertrauensmodelle in Public-Key-Infrastrukturen]]** erstellte Datei mit den vertrauenswürdigen Root-Zertifikaten verwenden soll. |
| # vim /etc/openldap/ldap.conf | # vim /etc/openldap/ldap.conf |
| |
| Folgende Parameter werden wir unserem OpenLDAP-Server über eine passende LDIF-Datei bekannt geben. | Folgende Parameter werden wir unserem OpenLDAP-Server über eine passende LDIF-Datei bekannt geben. |
| * **olcTLSCipherSuite**: \\ Definition der Verschlüsselungsstärke bzw. der Verschlüsselungsmechanismen | * **olcTLSCipherSuite**: \\ Definition der Verschlüsselungsstärke bzw. der Verschlüsselungsmechanismen |
| * **olcTLSCertificateFile**: \\ Die zuvor generierte Zertifikatsdatei //**etc/pki/tls/certs/openldap.dmz.nausch.org.certificate.pem**// | * **olcTLSCertificateFile**: \\ Die zuvor generierte Zertifikatsdatei //**/etc/pki/tls/certs/openldap.dmz.nausch.org.certificate.pem**// |
| * **olcTLSCertificateKeyFile**: \\ Der zum Zertifikat gehörende private Serverkey //**/etc/pki/tls/private/openldap_serverkey.pem**// | * **olcTLSCertificateKeyFile**: \\ Der zum Zertifikat gehörende private Serverkey //**/etc/pki/tls/private/openldap_serverkey.pem**// |
| * **olcTLSCACertificateFile**: \\ Das ROOT-Zertifikat bzw. die Zertifikatschain der verwendeten Certificate Authority (CA) | * **olcTLSCACertificateFile**: \\ Das ROOT-Zertifikat bzw. die Zertifikatschain der verwendeten Certificate Authority (CA) |
| olcIdleTimeout: 30 | olcIdleTimeout: 30 |
| olcTLSCipherSuite: HIGH | olcTLSCipherSuite: HIGH |
| olcTLSCertificateFile: /etc/pki/tls/certs/openldap.dmz.nausch.org.certificate. | olcTLSCertificateFile: /etc/pki/tls/certs/openldap.dmz.nausch.org.certificate.pem |
| pem | |
| olcTLSCertificateKeyFile: /etc/pki/tls/private/openldap_serverkey.pem | olcTLSCertificateKeyFile: /etc/pki/tls/private/openldap_serverkey.pem |
| olcTLSCACertificateFile: /etc/pki/tls/certs/CAcert_chain.pem | olcTLSCACertificateFile: /etc/pki/tls/certs/CAcert_chain.pem |
| |
| |
| | ====== Links ====== |
| | * **⇐ [[centos:ldap_c7:install|Zurück zum Kapitel "OpenLDAP Server unter CentOS 7.x installieren und einrichten"]]** |
| | * **⇒ [[centos:ldap_c7:data|Weiter zum Kapitel "Datenerstbefüllung des OpenLDAP Servers unter CentOS 7.x"]]** |
| | * **[[centos:ldap_c7:start|Zurück zum Kapitel >>OpenLDAP Server unter CentOS 7.x<<]]** |
| | * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]** |
| | * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** |
| |
| |
django