Geänderte TLS-Konfiguration bei OpenLDAP

Möchten Administratoren Ihre Benutzer zentral über einen LDAP-Server verwalten, kommen im Open-Source-Umfeld zumeist der 389-ds oder der OpenLDAP-Server zum Einsatz. Während 389-ds federführend von Red Hat entwickelt wird, wird Open­LDAP primär in einer Upstream Community entwickelt. Für den Einsatz von X.509-Zertifikaten kann OpenLDAP sowohl auf die OpenSSL-, GnuTLS- als auch die MozNSS-Bibliotheken zurückgreifen.

Auf Red-Hat-Systemen hat man sich bereits vor langer Zeit für den Einsatz von MozNSS entschieden. Diese Entscheidung ist naheliegend, da andere Softwarepakete wie 389-ds ebenfalls mit MozNSS zusammenarbeiten. Fedora 28 ist aber wieder auf OpenSSL gewechselt, da die Upstream-Community schon seit längerer Zeit den MozNSS-Layer nicht mehr unterstützt und den Einsatz von OpenSSL bevorzugt, was die Pflege von OpenLDAP in Fedora in den letzten Jahren erheblich erschwert hat.

Der Übergang von MozNSS zu OpenSSL ist allerdings nicht ganz trivial. Das liegt unter anderem auch daran, dass MozNSS für das Speichern von Zertifikatsdaten auf NSS-Datenbanken zurückgreift, OpenSSL hingegen diese Daten in PEM-Dateien verwaltet. Des Weiteren erwartet OpenSSL, dass Dateien, in denen einzelne Zertifikate von Certificate Authorities (CA) abgelegt sind, über einen Hash-Link verfügen. Diese Links verwenden dabei den Hash-Wert des Zertifikat-Subjekts als Dateinamen und zeigen auf die eigentlichen CA-Zertifikatsdateien. Erzeugt werden diese Links üblicherweise mit dem Tool cacertdir_rehash:

# cacertdir_rehash /etc/ipa/

# ls -l /etc/ipa/

total 12

lrwxrwxrwx. 1 root root 6 Dec 3 16:22 caac345f.0 -> ca.crt

Mit Hilfe von OpenSSL lässt sich der korrekte Hash-Wert verifizieren:

# openssl x509 -hash -noout -in /etc/ipa/ca.crt

caac345f

Migration

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.