ActiveDirectory/SSL: различия между версиями
Liannnix (обсуждение | вклад) (Новая страница: «= Введение = Настройка доступа к дереву домена Samba чере LDAPS. По умолчанию Samba предоставляет доступ по протоколу LDAP с использованием GSSAPI авторизации и шифрования или без шифрования вообще. LDAPS подразумевает использование SSL/TLS туннеля для обмена данными с...») |
Liannnix (обсуждение | вклад) |
||
Строка 7: | Строка 7: | ||
Устройство SSL сертификатов выглядит следующим образом: | Устройство SSL сертификатов выглядит следующим образом: | ||
Создаётся корневая пара ключ-сертифкат. Далее с помощью этой пары подписываются доменные сертификаты. Они так же представляют из себя пару ключ-сертификат. | Создаётся корневая пара ключ-сертифкат. Далее с помощью этой пары подписываются доменные сертификаты. Они так же представляют из себя пару ключ-сертификат. | ||
Библиотеки для работы с SSL (openssl, например) используют список так называемых доверенных центров сертификации, чьи корневые сертификаты распространяются вместе с библиотеками и переодически обновляются. Пользовательские сертификаты, подписанные такими центрами сертификации по умолчанию считаются доверенными. | Библиотеки для работы с SSL (openssl, например) используют список так называемых доверенных центров сертификации, чьи корневые сертификаты распространяются вместе с библиотеками и переодически обновляются. Пользовательские сертификаты, подписанные такими центрами сертификации по умолчанию считаются доверенными. |
Версия от 13:13, 15 января 2022
Введение
Настройка доступа к дереву домена Samba чере LDAPS. По умолчанию Samba предоставляет доступ по протоколу LDAP с использованием GSSAPI авторизации и шифрования или без шифрования вообще. LDAPS подразумевает использование SSL/TLS туннеля для обмена данными с сервером, а так же позволяет использовать plain-text авторизацию (с помощью логина и пароля открытым текстом). В отличии от GSSAPI, LDAPS поддерживают большинство библиотек для работы с LDAP деревом.
Общая информация
Устройство SSL сертификатов выглядит следующим образом:
Создаётся корневая пара ключ-сертифкат. Далее с помощью этой пары подписываются доменные сертификаты. Они так же представляют из себя пару ключ-сертификат. Библиотеки для работы с SSL (openssl, например) используют список так называемых доверенных центров сертификации, чьи корневые сертификаты распространяются вместе с библиотеками и переодически обновляются. Пользовательские сертификаты, подписанные такими центрами сертификации по умолчанию считаются доверенными. Доменные сертификаты привязываются к доменным именам. Есть разные варианты: с учётом поддоменов, с использованием wildcard. Такие сертификаты используется, к примеру, для настройки HTTPS сервера. Доменные сертификаты можно использовать и без подписи. Пары ключ-сертификат достаточно для создания шифрованного канала, но без подписи такой сертификат считается ненадёжным. Такие сертификаты ещё называют самоподписанными (self-signed).
Генерация ключей
Установить пакет openssl.
Генерация корневой пары ключ-сертификат: openssl genrsa -out rootCA.key 2048 openssl req -x509 -new -key rootCA.key -days 10000 -out rootCA.crt
Генерация приватного ключа и сертификата, подписанного корневым сертификатом: openssl genrsa -out lnx-dc11.alt.test.key 2048 openssl req -new -key lnx-dc12.alt.test.key -out lnx-dc12.alt.test.csr Ответить на вопросы. В поле Common Name важно указать FQDN имя хоста, для которого генерируется сертификат. openssl x509 -req -in lnx-dc11.alt.test.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out lnx-dc11.alt.test.crt -days 5000
В итоге получаем комплект: Cert: lnx-dc11.alt.test.crt Key: lnx-dc11.alt.test.key CA: rootCA.crt
Настройка SSL/TLS в Samba
Копируем сгенерированные ключи в рабочий каталог Samba: cp lnx-dc11.alt.test.crt /var/lib/samba/private/tls/ cp lnx-dc11.alt.test.key /var/lib/samba/private/tls/ cp rootCA.crt /var/lib/samba/private/tls/
В секцию Global в /etc/samba/smb.conf добавляем слюдующие параметры: ldap server require strong auth = yes tls enabled = yes tls keyfile = tls/lnx-dc11.alt.test.key tls certfile = tls/lnx-dc11.alt.test.crt tls cafile = tls/rootCA.crt
Перезапускаем сервис Samba: systemctl restart samba
Добавляем в системный репозиторий сертификатов наш корневой сертификат: cp rootCA.crt /etc/pki/ca-trust/source/anchors/ update-ca-trust
Проверяем работоспособность TLS соединения: ldapsearch -h alt.test -W -x -D "Administrator@alt.test" -Z -b dc=alt,dc=test "(cn=Administrator)" dn sAMAccountName