LDAP Server+TLS on Linux (RHEL6.3)

LDAP Server+TLS on Linux (RHEL6.3)

                   ตอนนี้เรามาทำ LDAP Server กันดีกว่า เนื่องจากตอนนี้กำลังเตรียมเครื่องเพื่อติวให้พี่ๆ ที่บริษัทไปสอบ RHCSA Certificate ซึ่งหนึ่งในแนวข้อสอบก็มีการต้องทำ LDAP Client จึงต้องทำ LDAP Server เพื่อให้พี่ๆได้ ทดสอบและซ้อมมือกัน เรามาเริ่มกันเลยดีกว่า

                Hostname : champordy.champordy.com

                Base DN : dc=champordy,dc=com

                CA Cert : CHAMPORDY-CA-CERT

1.       Install Package openldap-servers และ migrationtools

yum install openldap-servers migrationtools

2.       Copy simple config และ DB config

cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

(copy และเปลี่ยนชื่อเป็น slapd.conf)

Cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

(copy และเปลี่ยนชื่อเป็น DB_CONFIG)

3.       เปลี่ยน owner file slapd.conf และทั้ง Directory /var/lib/ldap เป็น user: ldap , group: ldap

chown ldap.ldap /etc/openldap/slapd.conf

chown –R ldap.ldap /var/lib/ldap/

4.       Set password admin slapd

slappasswd    (แล้วตั้ง password ตามต้องการ)

     Copy ในกรอบสีแดงไปใส่ใน slapd.conf ดังนี้

              Vim /etc/openldap/slapd.conf

        หาคำว่า rootpw แล้วเพิ่มดังภาพ

5.       Setting File Config slapd.conf ดังนี้

ให้แก้จาก dc=my-domain,dc=com ไปเป็น dc=champordy,dc=com ตามในกรอบสีแดงในภาพ

หรือจะใช้ Command ใน vi ดังกรอบสีแดงล่างสุดในภาพ

และกำหนด File CA Cert และ Key ดังนี้

6.       Generate File Key and Cert ดังนี้

Generate File KEY

openssl genrsa 1024 > /etc/openldap/certs/CHAMPORDY-CA-KEY

Generate File CERT

 openssl req -new -x509 -key /etc/openldap/certs/CHAMPORDY-CA-KEY  \

 -out  /etc/openldap/certs/CHAMPORDY-CA-KEY  

7.       Start service slapd

service slapd start

8.       Create file config ใน /etc/openldap/slapd.d/

rm –rf /etc/openldap/slapd.d/*

slaptest –f /etc/openldap/slapd.conf –F /etc/openldap/slapd.d/  (ต้องแสดง output ว่า config file testing succeeded)

 chown –R ldap.ldap /etc/openldap/slapd.d/

 chown –R ldap.ldap /var/lib/ldap/

จากนั้นแล้ว Restart service slapd

      service slapd restart

9.       เปิดให้ ldap รองรับการใช้งาน cert

vim /etc/sysconfig/ldap

แก้ไข SLAPD_LDAPS=yes

แล้ว Restart service slapd

                service slapd restart

10.       ทดสอบการ Config โดย netstat

netstat –tunpl | grep slapd

(ต้องมี port tcp 389 636 เปิดอยู่)

netstat –lt | grep ldap

(ต้องมีเปิดทั้ง ldap และ ldaps)

11.       Create and add  base ldap

vim /root/base.ldif

(ตามตัวอย่างด้านล่างนี้สร้างแค่ ou: People อันเดียวนะครับ)

ทำการ add base เข้าใน ldap

ldapadd -x -W -D "cn=Manager,dc=champordy,dc=com" -f /root/base.ldif

12.       แก้ไข file migrate_common.ph เพื่อใช้ script ในการ migrationtools

vim /usr/share/migrationtools/migrate_common.ph

แก้ในกรอบสีแดงด้านบนจาก padl เป็น champordy

หรือใช้ vi command ตามกรอบสีแดงด้านล่างก็ได้

13.       ทำการสร้าง User ใน LDAP

ผมยกตัวอย่างสร้าง user ชื่อ ldapuser และ home directory ไว้ที่ /home/ldap

mkdir /home/ldap

useradd –md /home/ldap/ldapuser ldapuser

passwd ldapuser

grep ldapuser /etc/passwd > /root/ldapuser.txt

 migrate ldapuser.txt เป็น ldapuser.ldif เพื่อจะได้ add เข้า ldap

         /usr/share/migrationtools/migrate_passwd.pl /root/ldapuser.txt > /root/ldapuser.ldif

               

 และทำการ add เข้า LDAP

         ldapadd -x -W -D "cn=Manager,dc=champordy,dc=com" -f /root/ldapuser.ldif

14.       เปิด firewall tcp port 389 และ 636

เป็นอันเรียบร้อยสำหรับการทำ LDAP Server สำหรับวิธีการทดสอบให้ดูการทำ LDAP Client ตาม link นี้

http://champordy.blogspot.com/2013/12/ldap-client-tls-on-rhel63.html

ผิดพลาดประการใด ขออภัยไว้ ณ ที่นี้ด้วยครับ