III.9.1.3. Utilisation d'openSSL avec LDAP
Nous pouvons maintenant utiliser le protocole TLS/SSL pour un
serveur LDAP même si cela s'avère d'une logique un peu trop
paranoïaque dans la situation de l'entreprise VIRTUALIUT car les
authentifications LDAP ne sont demandées que sur le réseau
interne.
Nous nous basons cette fois sur le serveur SVRLAN
et nous voulons aussi déclarer ce serveur comme serveur
d'autorité racine (CA).
Créons selon le même principe que
précédemment un certificat d'autorité, remplaçons
le hostname bien sûr par svrlan et l'adresse mail
du root par root@virtualiut.lan. Nous devons créer une
clé publique et une clé privée valide pour un an pour le
serveur LDAP
Figure 66 :création d'un certificat
d'autorité (CA)
Nous devons faire signer notre certificat par l'autorité
de certification et limitons les accès à la clé
Rédiger par NGOUCHEME MBOUOMBOUO A. Page
59
Concevoir et déployer d'une architecture de
réseau sécurisée à l'IUT
Figure 67 : limitation de droit d'accès sur la cl
é generée Modifions les fichiers de configuration LDAP,
commençons par : - /etc/ldap/ldap.conf
BASE dc=virtualiut,dc=lan URL ldaps://192.168.3.1:636
TLS_CACERT /etc/ldap/ldap.crt TLS_REQCERT demand
- /etc/default/slapd
SLAPD_SERVICES='ldap://127.0.0.1 :389/
ldaps://192.168.3.1 :636/' - /etc/ldap/slapd.conf
TLSCerttificatefile /etc/ldap/ldap.crt
TLSCerttificateKeyfile /etc/ldap/ldap.key TLSCACertificatFile
/etc/ldap/cacert.pem
Enfin faisons un transfert du serveur par scp le
certificat cacert.pem
[root]# cd /etc/ldap
[root]# scp
root@19.168.3.1:/etc/ldap/cacert.pem
Voici une première approche des mécanismes
d'utilisation de bibliothèques et d'utilitaires de chiffrement. Nous
devons bien comprendre que cette pratique est une pratique appliquée sur
un service, différente suivant ceux-ci mais équivalente dans la
démarche.
| 
