openLDAP pada Ubuntu 8.04 (Hardy Heron)


Install LDAP

# aptitude install slapd ldap-utils migrationtools

Jawab pertanyaanya, biasanya hanya ditanyakan untuk password admin LDAP. Lakukan konfigurasi ulang.

# dpkg-reconfigure slapd

Question                     Answer

Omit Configuration           no

DNS Domain Name              mydomain.com

Organization Name            My Domain

Admin Password               adminpassword

Verify Password              adminpassword

Database Backend             BDB

Remove DB on purge           no

Allow LDAPv2 protocol        no

buatlah password LDAP yang terinkripsi

#slappaswd

New password:

Re-enter new password:

Ketikkan passwordnya kemudian copy ke dalam /etc/ldap/slapd.conf

rootdn cn=admin,dc=arifrohman,dc=com

rootpw {SSHA}XwUhQ5EMp3FopKbSeuFWNxnVhh1LQSZA

  1. Membuat database

# cd /usr/share/migrationtools/

Oya pastikan file migrate_common.ph ada pada folder tersebut, defaultnya ada di /usr/share/perl5. Edit pada point berikut

# Default DNS domain

$DEFAULT_MAIL_DOMAIN = “arifrohman.com”;

# Default base

$DEFAULT_BASE = “dc=arifrohman,dc=com”;

Simpan dan copy ke /usr/share/migrationtools/

# ./migrate_group.pl /etc/group ~/group.ldif
# ./migrate_passwd.pl /etc/passwd ~/passwd.ldif

Tapi sayangnya kita blm dibuatkan ou Group dan People, kita harus membuatnya sendiri. Simpan dengan nama people_group.ldif

dn: ou=People, dc=arifrohman, dc=local

ou: People

objectclass: organizationalUnit

dn: ou=Group, dc=lib, dc=ums, dc=local

ou: Group

objectclass: organizationalUnit

kemudian database tersebut ke dalam LDAP

# ldapadd -x -W -D “cn=admin,dc=arifrohman,dc=com” -f ~/people_group.ldif

# ldapadd -x -W -D “cn=admin,dc=arifrohman,dc=com” -f ~/group.ldif

# ldapadd -x -W -D “cn=admin,dc=arifrohman,dc=com” -f ~/passwd.ldif

dimana:

-x specify that we are not using sasl

-W prompt for password

-D is used to identify the administrator

-f to specify the file where ldapadd should find the data to add

  1. Create SSL Certificate

# openssl genrsa -des3 -rand file1:file2:file3:file4:file5 -out server.key 1024

# openssl rsa -in server.key -out server.pem

# openssl req -new -key server.key -out server.csr

# openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt

Ambil satu file sertifikat yakni server.pem dan buatkan folder untuk meletakkan sertifikat tersebut, misalnya ssl. Kemudian tambahkan script di /etc/ldap/slapd.conf

TLSCipherSuite TLS_ANON_DH_ARCFOUR_MD5:TLS_RSA_ARCFOUR_SHA1:TLS_RSA_ARCFOUR_MD5:TLS_ANON_DH_AES_256_CBC_SHA1:TLS_DHE_RSA_AES_256_CBC_SHA1:TLS_DHE_DSS_AES_256_CBC_SHA1:TLS_RSA_AES_256_CBC_SHA1:TLS_ANON_DH_AES_128_CBC_SHA1:TLS_DHE_RSA_AES_128_CBC_SHA1:TLS_DHE_DSS_AES_128_CBC_SHA1:TLS_RSA_AES_128_CBC_SHA1:TLS_ANON_DH_3DES_EDE_CBC_SHA1:TLS_DHE_RSA_3DES_EDE_CBC_SHA1:TLS_DHE_DSS_3DES_EDE_CBC_SHA1:TLS_RSA_3DES_EDE_CBC_SHA1

TLSCACertificateFile /etc/ldap/ssl/server.pem

TLSCertificateFile /etc/ldap/ssl/server.pem

TLSCertificateKeyFile /etc/ldap/ssl/server.pem

Cek ketersediaan cipher dengan perintah berikut

# openssl ciphers -v

# gnutls-cli -l

MEDIUM -> TLS_ANON_DH_ARCFOUR_MD5:TLS_RSA_ARCFOUR_SHA1:TLS_RSA_ARCFOUR_MD5

HIGH -> TLS_ANON_DH_AES_256_CBC_SHA1:TLS_DHE_RSA_AES_256_CBC_SHA1:TLS_DHE_DSS_AES_256_CBC_SHA1:TLS_RSA_AES_256_CBC_SHA1:TLS_ANON_DH_AES_128_CBC_SHA1:TLS_DHE_RSA_AES_128_CBC_SHA1:TLS_DHE_DSS_AES_128_CBC_SHA1:TLS_RSA_AES_128_CBC_SHA1:TLS_ANON_DH_3DES_EDE_CBC_SHA1:TLS_DHE_RSA_3DES_EDE_CBC_SHA1:TLS_DHE_DSS_3DES_EDE_CBC_SHA1:TLS_RSA_3DES_EDE_CBC_SHA1

LOW -> empty list

DEFAULT: MED+HIGH, w/o ANON_DH, w/ TLS_RSA_EXPORT_ARCFOUR_40_MD5

EXP,EXPORT,EXPORT40 -> TLS_RSA_EXPORT_ARCFOUR_40_MD5

eNULL,NULL -> TLS_RSA_NULL_MD5

aNULL -> TLS_ANON_DH_AES_256_CBC_SHA1:TLS_ANON_DH_AES_128_CBC_SHA1:TLS_ANON_DH_3DES_EDE_CBC_SHA1:TLS_ANON_DH_ARCFOUR_MD5

SSLv2 -> empty list

Dalam kasus ini saya ambil list untuk HIGH dan MEDIUM.

  1. Edit file /etc/default/slapd, tambahkan baris berikut

SLAPD_SERVICES=”ldap://127.0.0.1/ ldaps:///”

Artinya service LDAP hanya akan listen pada localhost untuk unsecure LDAP (port 389) dan listen secure LDAP untuk semua host (port 636).

  1. Prosedur LDAP lainnya

Mematikan service LDAP

# kill –INT <pid>

pid slapd terletak di file konfigurasi, biasanya terletak di /var/run/slapd/slapd.pid, atau cek dengan perintah

# cat /var/run/slapd/slapd.pid

# ps ax|grep slapd

Mematikan service LDAP dengan ekstrim dapat merusak database LDAP

  1. Membuat database baru

Hapus semua data lama di /var/lib/ldap/

# cd /var/lib/ldap

# rm *

Konfigurasi ulang bila perlu

# dpkg-reconfigure slapd

Pastikan file konfigurasi yakni /etc/ldap/slapd.conf memiliki mode 644

Uncategorized

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s