Geänderte TLS-Konfiguration bei OpenLDAP

Möchten Administratoren Ihre Benutzer zentral über einen LDAP-Server verwalten, kommen im Open-Source-Umfeld zumeist der 389-ds oder der OpenLDAP-Server zum Einsatz. Während 389-ds federführend von Red Hat entwickelt wird, wird Open­LDAP primär in einer Upstream Community entwickelt. Für den Einsatz von X.509-Zertifikaten kann OpenLDAP sowohl auf die OpenSSL-, GnuTLS- als auch die MozNSS-Bibliotheken zurückgreifen.

Auf Red-Hat-Systemen hat man sich bereits vor langer Zeit für den Einsatz von MozNSS entschieden. Diese Entscheidung ist naheliegend, da andere Softwarepakete wie 389-ds ebenfalls mit MozNSS zusammenarbeiten. Fedora 28 ist aber wieder auf OpenSSL gewechselt, da die Upstream-Community schon seit längerer Zeit den MozNSS-Layer nicht mehr unterstützt und den Einsatz von OpenSSL bevorzugt, was die Pflege von OpenLDAP in Fedora in den letzten Jahren erheblich erschwert hat.

Der Übergang von MozNSS zu OpenSSL ist allerdings nicht ganz trivial. Das liegt unter anderem auch daran, dass MozNSS für das Speichern von Zertifikatsdaten auf NSS-Datenbanken zurückgreift, OpenSSL hingegen diese Daten in PEM-Dateien verwaltet. Des Weiteren

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.