웹사이트 검색

STARTTLS를 사용하여 OpenLDAP 연결을 암호화하는 방법

소개

OpenLDAP는 유연하고 잘 지원되는 LDAP 디렉토리 서비스를 제공합니다. 그러나 기본적으로 서버 자체는 암호화되지 않은 웹 연결을 통해 통신합니다. 이 가이드에서는 기존 연결을 TLS로 업그레이드하기 위해 STARTTLS를 사용하여 OpenLDAP에 대한 연결을 암호화하는 방법을 보여줍니다. Ubuntu 14.04를 LDAP 서버로 사용할 것입니다.

전제 조건

이 가이드를 시작하기 전에 서버에 sudo가 설정된 루트가 아닌 사용자가 있어야 합니다. 이 유형의 사용자를 설정하려면 Ubuntu 14.04 초기 설정 가이드를 따르십시오.

이 가이드에서는 Ubuntu 14.04 서버에 OpenLDAP를 설치하는 방법을 다룰 것입니다. 서버에 OpenLDAP가 이미 설치되어 있는 경우 관련 설치 및 구성 단계를 건너뛸 수 있습니다.

SSL을 통한 LDAP와 STARTTLS를 사용한 LDAP

SSL/TLS로 LDAP 연결을 암호화하는 방법에는 두 가지가 있습니다.

전통적으로 암호화가 필요한 LDAP 연결은 별도의 포트(일반적으로 636)에서 처리되었습니다. 전체 연결은 SSL/TLS로 래핑됩니다. SSL을 통한 LDAP라고 하는 이 프로세스는 ldaps:// 프로토콜을 사용합니다. 이 암호화 방법은 이제 더 이상 사용되지 않습니다.

STARTTLS는 현재 LDAP 연결을 암호화하는 데 선호되는 방법인 대체 접근 방식입니다. STARTTLS "업그레이드\ 암호화되지 않은 연결은 연결 프로세스 이후/동안에 SSL/TLS로 래핑하여 암호화되지 않은 연결과 암호화된 연결을 동일한 포트에서 처리할 수 있습니다. 이 가이드에서는 STARTTLS를 활용하여 연결을 암호화합니다.

호스트 이름 및 FQDN 설정

시작하기 전에 호스트 이름과 정규화된 도메인 이름(FQDN)을 올바르게 확인하도록 서버를 설정해야 합니다. 이는 고객이 인증서를 검증하기 위해 필요합니다. 우리는 LDAP 서버가 FQDN이 ldap.example.com인 시스템에서 호스팅된다고 가정합니다.

서버의 모든 관련 위치에서 호스트 이름을 설정하려면 set-hostname 옵션과 함께 hostnamectl 명령을 사용하십시오. 호스트 이름을 짧은 호스트 이름으로 설정합니다(도메인 이름 구성 요소는 포함하지 않음).

  1. sudo hostnamectl set-hostname ldap

다음으로 /etc/hosts 파일에 올바른 정보가 있는지 확인하여 서버의 FQDN을 설정해야 합니다.

  1. sudo nano /etc/hosts

127.0.1.1 IP 주소를 매핑하는 줄을 찾습니다. IP 주소 다음의 첫 번째 필드를 서버의 FQDN으로 변경하고 두 번째 필드를 짧은 호스트 이름으로 변경합니다. 이 예에서는 다음과 같이 표시됩니다.

. . .

127.0.1.1 ldap.example.com ldap
127.0.0.1 localhost

. . .

완료되면 파일을 저장하고 닫습니다.

다음을 입력하여 이러한 값을 올바르게 구성했는지 확인할 수 있습니다.

  1. hostname

이렇게 하면 짧은 호스트 이름이 반환됩니다.

ldap

다음을 입력하여 FQDN을 확인합니다.

  1. hostname -f

이것은 FQDN을 반환해야 합니다.

ldap.example.com

LDAP 서버 및 GnuTLS 소프트웨어 설치

호스트 이름이 올바르게 설정되었는지 확인한 후 필요한 소프트웨어를 설치할 수 있습니다. OpenLDAP를 이미 설치 및 구성한 경우 첫 번째 하위 섹션을 건너뛸 수 있습니다.

OpenLDAP 서버 설치

아직 OpenLDAP가 설치되어 있지 않다면 지금이 문제를 해결할 때입니다. 서버의 로컬 패키지 색인을 업데이트하고 다음을 입력하여 소프트웨어를 설치합니다.

  1. sudo apt-get update

  2. sudo apt-get install slapd ldap-utils

LDAP 관리 암호를 제공하라는 메시지가 표시됩니다. 즉시 재구성할 것이므로 프롬프트를 건너뛰어도 됩니다.

필요한 몇 가지 추가 프롬프트에 액세스하기 위해 설치 후 패키지를 재구성합니다. 이렇게 하려면 다음을 입력합니다.

  1. sudo dpkg-reconfigure slapd

아래 정보를 시작점으로 사용하여 프롬프트에 적절하게 대답하십시오.

  • OpenLDAP 서버 구성을 생략하시겠습니까? 아니요(초기 데이터베이스 및 구성이 필요함)
  • DNS 도메인 이름: example.com(호스트 이름을 제외한 서버의 도메인 이름 사용. 정보 트리의 기본 항목을 만드는 데 사용됨)< /리>
  • 조직 이름: Example Inc(조직 이름으로 기본 항목에 간단히 추가됨)
  • 관리자 비밀번호: [원하는 대로]
  • 비밀번호 확인: [위와 일치해야 함]
  • 사용할 데이터베이스 백엔드: HDB(두 가지 선택 사항 중 가장 많은 기능이 있음)
  • slapd가 제거될 때 데이터베이스를 제거하시겠습니까? (선택. 완전히 제거하려면 "예\를 선택하고 소프트웨어가 제거된 경우에도 데이터를 저장하려면 "아니요\를 선택하십시오.)
  • 이전 데이터베이스를 이동하시겠습니까? 예
  • LDAPv2 프로토콜을 허용하시겠습니까? 아니요

SSL 구성 요소 설치

OpenLDAP 서버가 구성되면 계속해서 연결을 암호화하는 데 사용할 패키지를 설치할 수 있습니다. Ubuntu OpenLDAP 패키지는 GnuTLS SSL 라이브러리에 대해 컴파일되므로 GnuTLS를 사용하여 SSL 자격 증명을 생성합니다.

  1. sudo apt-get install gnutls-bin ssl-cert

모든 도구가 설치되면 연결을 암호화하는 데 필요한 인증서와 키 생성을 시작할 수 있습니다.

인증서 템플릿 만들기

연결을 암호화하려면 인증 기관을 구성하고 이를 사용하여 인프라에 있는 LDAP 서버의 키에 서명해야 합니다. 따라서 단일 서버 설정의 경우 두 세트의 키/인증서 쌍이 필요합니다. 하나는 인증 기관 자체용이고 다른 하나는 LDAP 서비스와 연결됩니다.

이러한 엔터티를 나타내는 데 필요한 인증서를 만들기 위해 몇 가지 템플릿 파일을 만듭니다. 여기에는 적절한 속성으로 인증서를 생성하기 위해 certtool 유틸리티에 필요한 정보가 포함됩니다.

템플릿 파일을 저장할 디렉터리를 만드는 것으로 시작합니다.

  1. sudo mkdir /etc/ssl/templates

CA 템플릿 생성

먼저 인증 기관에 대한 템플릿을 만듭니다. ca_server.conf 파일을 호출합니다. 텍스트 편집기에서 파일을 만들고 엽니다.

  1. sudo nano /etc/ssl/templates/ca_server.conf

인증 기관을 성공적으로 생성하기 위해 몇 가지 정보만 제공하면 됩니다. ca 옵션을 추가하여 인증서가 CA(인증 기관)용임을 지정해야 합니다. 또한 생성된 인증서에 추가 인증서에 서명할 수 있는 기능을 제공하려면 cert_signing_key 옵션이 필요합니다. cn을 인증 기관에 대해 원하는 설명 이름으로 설정할 수 있습니다.

cn = LDAP Server CA
ca
cert_signing_key

파일을 저장하고 닫습니다.

LDAP 서비스 템플릿 만들기

다음으로 ldap_server.conf라는 LDAP 서버 인증서용 템플릿을 만들 수 있습니다. sudo 권한으로 텍스트 편집기에서 파일을 만들고 엽니다.

  1. sudo nano /etc/ssl/templates/ldap_server.conf

여기에서 몇 가지 다른 정보를 제공합니다. 인증서가 필요한 기본 기능을 갖도록 조직의 이름을 제공하고 tls_www_server, encryption_keysigning_key 옵션을 설정합니다. .

이 템플릿의 cn은 LDAP 서버의 FQDN과 일치해야 합니다. 이 값이 일치하지 않으면 클라이언트는 서버의 인증서를 거부합니다. 또한 인증서의 만료 날짜를 설정합니다. 빈번한 갱신을 관리할 필요가 없도록 10년 인증서를 생성합니다.

organization = "Example Inc"
cn = ldap.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 3652

완료되면 파일을 저장하고 닫습니다.

CA 키 및 인증서 생성

이제 템플릿이 있으므로 두 개의 키/인증서 쌍을 만들 수 있습니다. 먼저 인증 기관의 집합을 만들어야 합니다.

certtool 유틸리티를 사용하여 개인 키를 생성하십시오. /etc/ssl/private 디렉토리는 루트가 아닌 사용자로부터 보호되며 생성할 개인 키를 배치하기에 적합한 위치입니다. 개인 키를 생성하고 다음을 입력하여 이 디렉토리 내의 ca_server.key라는 파일에 쓸 수 있습니다.

  1. sudo certtool -p --outfile /etc/ssl/private/ca_server.key

이제 방금 생성한 개인 키와 마지막 섹션에서 생성한 템플릿 파일을 사용하여 인증 기관 인증서를 생성할 수 있습니다. 이것을 ca_server.pem이라는 /etc/ssl/certs 디렉토리의 파일에 작성합니다.

  1. sudo certtool -s --load-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ca_server.conf --outfile /etc/ssl/certs/ca_server.pem

이제 인증 기관에 대한 개인 키와 인증서 쌍이 있습니다. 이것을 사용하여 실제로 LDAP 세션을 암호화하는 데 사용될 키에 서명할 수 있습니다.

LDAP 서비스 키 및 인증서 만들기

다음으로 LDAP 서버용 개인 키를 생성해야 합니다. 보안을 위해 생성된 키를 다시 /etc/ssl/private 디렉토리에 넣고 명확성을 위해 ldap_server.key 파일을 호출합니다.

다음을 입력하여 적절한 키를 생성할 수 있습니다.

  1. sudo certtool -p --sec-param high --outfile /etc/ssl/private/ldap_server.key

LDAP 서버용 개인 키가 있으면 서버용 인증서를 생성하는 데 필요한 모든 것이 있습니다. 지금까지 생성한 거의 모든 구성 요소(CA 인증서 및 키, LDAP 서버 키 및 LDAP 서버 템플릿)를 가져와야 합니다.

인증서를 /etc/ssl/certs 디렉토리에 넣고 이름을 ldap_server.pem으로 지정합니다. 필요한 명령은 다음과 같습니다.

  1. sudo certtool -c --load-privkey /etc/ssl/private/ldap_server.key --load-ca-certificate /etc/ssl/certs/ca_server.pem --load-ca-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ldap_server.conf --outfile /etc/ssl/certs/ldap_server.pem

OpenLDAP 액세스를 LDAP 서버 키에 부여

이제 필요한 모든 인증서와 키가 있습니다. 그러나 현재 OpenLDAP 프로세스는 자체 키에 액세스할 수 없습니다.

ssl-cert라는 그룹이 /etc/ssl/private 디렉토리의 그룹 소유자로 이미 존재합니다. OpenLDAP 프로세스가 실행되는 사용자(openldap)를 이 그룹에 추가할 수 있습니다.

  1. sudo usermod -aG ssl-cert openldap

이제 OpenLDAP 사용자가 디렉토리에 액세스할 수 있습니다. 읽기 액세스를 허용할 수 있도록 여전히 해당 그룹에 ldap_server.key 파일의 소유권을 부여해야 합니다. 다음을 입력하여 해당 파일에 대한 ssl-cert 그룹 소유권을 부여합니다.

  1. sudo chown :ssl-cert /etc/ssl/private/ldap_server.key

이제 ssl-cert 그룹에 파일에 대한 읽기 액세스 권한을 부여합니다.

  1. sudo chmod 640 /etc/ssl/private/ldap_server.key

이제 OpenSSL 프로세스에서 키 파일에 제대로 액세스할 수 있습니다.

인증서 및 키를 사용하도록 OpenLDAP 구성

파일이 있고 구성 요소에 대한 액세스를 올바르게 구성했습니다. 이제 우리가 만든 파일을 사용하려면 OpenLDAP 구성을 수정해야 합니다. 구성 변경 사항이 포함된 LDIF 파일을 생성하고 이를 LDAP 인스턴스에 로드하여 이를 수행합니다.

홈 디렉터리로 이동하여 addcerts.ldif라는 파일을 엽니다. 이 파일에 구성 변경 사항을 저장합니다.

  1. cd ~

  2. nano addcerts.ldif

구성을 변경하려면 구성 DIT의 cn=config 항목을 대상으로 지정해야 합니다. 항목의 속성을 수정하려는 것임을 지정해야 합니다. 그런 다음 olcTLSCACertificateFile, olcCertificateFileolcCertificateKeyFile 속성을 추가하고 올바른 파일 위치로 설정해야 합니다.

최종 결과는 다음과 같습니다.

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key

완료되면 파일을 저장하고 닫습니다. ldapmodify 명령을 사용하여 OpenLDAP 시스템에 변경 사항을 적용합니다.

  1. sudo ldapmodify -H ldapi:// -Y EXTERNAL -f addcerts.ldif

OpenLDAP를 다시 로드하여 변경 사항을 적용할 수 있습니다.

  1. sudo service slapd force-reload

우리 클라이언트는 이제 STARTTLS를 사용하여 기존 ldap:// 포트를 통해 서버에 대한 연결을 암호화할 수 있습니다.

클라이언트 시스템 설정

LDAP 서버에 연결하고 STARTTLS 업그레이드를 시작하려면 클라이언트가 인증 기관 인증서에 액세스할 수 있어야 하며 업그레이드를 요청해야 합니다.

OpenLDAP 서버에서

서버 자체에서 OpenLDAP 서버와 상호 작용하는 경우 CA 인증서를 복사하고 클라이언트 구성 파일을 조정하여 클라이언트 유틸리티를 설정할 수 있습니다.

먼저 /etc/ssl/certs 디렉터리에서 /etc/ldap 디렉터리 내의 파일로 CA 인증서를 복사합니다. 이 파일을 ca_certs.pem이라고 합니다. 이 파일은 이 시스템의 클라이언트가 액세스하려는 모든 CA 인증서를 저장하는 데 사용할 수 있습니다. 우리의 목적을 위해 여기에는 단일 인증서만 포함됩니다.

  1. sudo cp /etc/ssl/certs/ca_server.pem /etc/ldap/ca_certs.pem

이제 OpenLDAP 유틸리티에 대한 시스템 전체 구성 파일을 조정할 수 있습니다. sudo 권한으로 텍스트 편집기에서 구성 파일을 엽니다.

  1. sudo nano /etc/ldap/ldap.conf

방금 만든 파일을 가리키도록 TLS_CACERT 옵션의 값을 조정합니다.

. . .

TLS_CACERT /etc/ldap/ca_certs.pem

. . .

파일을 저장하고 닫습니다.

이제 OpenLDAP 유틸리티를 사용할 때 -Z 옵션을 전달하여 STARTTLS를 사용하도록 연결을 업그레이드할 수 있습니다. 두 번 전달하여 STARTTLS 업그레이드를 강제할 수 있습니다. 다음을 입력하여 테스트합니다.

  1. ldapwhoami -H ldap:// -x -ZZ

이것은 STARTTLS 업그레이드를 강제합니다. 이것이 성공하면 다음을 볼 수 있습니다.

anonymous

잘못 구성한 경우 다음과 같은 오류가 표시될 수 있습니다.

ldap_start_tls: Connect error (-11)
	additional info: (unknown error code)

원격 클라이언트 구성

원격 서버에서 OpenLDAP 서버에 연결하는 경우 유사한 프로세스를 완료해야 합니다. 먼저 CA 인증서를 클라이언트 시스템에 복사해야 합니다. scp 유틸리티를 사용하면 이 작업을 쉽게 수행할 수 있습니다.

클라이언트에 SSH 키 전달

SSH 키를 사용하여 OpenLDAP 서버에 연결하고 클라이언트 시스템도 원격인 경우 클라이언트 시스템에 연결할 때 에이전트에 추가하고 전달해야 합니다.

이렇게 하려면 로컬 컴퓨터에서 다음을 입력하여 SSH 에이전트를 시작합니다.

  1. eval $(ssh-agent)

다음을 입력하여 에이전트에 SSH 키를 추가합니다.

  1. ssh-add

이제 -A 플래그를 추가하여 LDAP 클라이언트 시스템에 연결할 때 SSH 키를 전달할 수 있습니다.

  1. ssh -A user@ldap_client

CA 인증서 복사

OpenLDAP 클라이언트에 연결되면 다음을 입력하여 CA 인증서를 복사할 수 있습니다.

  1. scp user@ldap.example.com:/etc/ssl/certs/ca_server.pem ~/

이제 복사한 인증서를 클라이언트가 알고 있는 CA 인증서 목록에 추가합니다. 이미 존재하는 경우 인증서를 파일에 추가하고 그렇지 않은 경우 파일을 생성합니다.

  1. cat ~/ca_server.pem | sudo tee -a /etc/ldap/ca_certs.pem

클라이언트 구성 조정

다음으로 ca_certs.pem 파일을 가리키도록 LDAP 유틸리티의 전역 구성 파일을 조정할 수 있습니다. sudo 권한으로 파일을 엽니다.

  1. sudo nano /etc/ldap/ldap.conf

TLS_CACERT 옵션을 찾아 ca_certs.pem 파일로 설정합니다.

. . .

TLS_CACERT /etc/ldap/ca_certs.pem

. . .

완료되면 파일을 저장하고 닫습니다.

다음을 입력하여 STARTTLS 업그레이드를 테스트합니다.

  1. ldapwhoami -H ldap://ldap.example.com -x -ZZ

STARTTLS 업그레이드가 성공하면 다음이 표시됩니다.

anonymous

TLS를 사용하도록 강제 연결(선택 사항)

STARTTLS 프로세스를 통해 일반 LDAP 연결을 TLS로 원활하게 업그레이드할 수 있도록 OpenLDAP 서버를 성공적으로 구성했습니다. 그러나 이것은 여전히 암호화되지 않은 세션을 허용하므로 원하는 것이 아닐 수 있습니다.

모든 연결에 대해 STARTTLS 업그레이드를 강제하려면 서버 설정을 조정할 수 있습니다. cn=config 항목 아래에서 액세스할 수 있는 구성 DIT가 아닌 일반 DIT에만 이 요구 사항을 적용합니다.

먼저 수정할 적절한 항목을 찾아야 합니다. OpenLDAP 서버가 정보를 가지고 있는 모든 DIT(디렉토리 정보 트리: LDAP 서버가 처리하는 항목의 계층 구조) 목록과 각 DIT를 구성하는 항목을 인쇄합니다.

OpenLDAP 서버에서 다음을 입력합니다.

  1. sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "(olcSuffix=*)" dn olcSuffix

응답은 다음과 같아야 합니다.

dn: olcDatabase={1}hdb,cn=config
olcSuffix: dc=example,dc=com

서버가 둘 이상의 DIT를 처리하도록 구성된 경우 더 많은 DIT 및 데이터베이스 쌍이 있을 수 있습니다. 여기에는 기본 항목이 dc=example,dc=com인 단일 DIT가 있습니다. 이 항목은 example.com의 도메인에 대해 생성된 항목입니다. 이 DIT의 구성은 olcDatabase={1}hdb,cn=config 항목에 의해 처리됩니다. 강제로 암호화하려는 DIT의 DN을 기록해 둡니다.

LDIF 파일을 사용하여 변경합니다. 홈 디렉토리에 LDIF 파일을 생성합니다. 우리는 그것을 forcetls.ldif라고 부를 것입니다:

  1. nano ~/forcetls.ldif

내부에서 TLS를 강제 실행하려는 DN을 대상으로 지정하십시오. 우리의 경우 이것은 dn: olcDatabase={1}hdb,cn=config입니다. changetype을 "modify”로 설정하고 olcSecurity 속성을 추가합니다. 속성 값을 "tls=1”로 설정하여 이 DIT에 TLS를 적용합니다.

dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1

완료되면 파일을 저장하고 닫습니다.

변경 사항을 적용하려면 다음을 입력하십시오.

  1. sudo ldapmodify -H ldapi:// -Y EXTERNAL -f forcetls.ldif

다음을 입력하여 OpenLDAP 서비스를 다시 로드합니다.

  1. sudo service slapd force-reload

이제 dc=example,dc=com DIT를 검색하는 경우 -Z 옵션을 사용하여 STARTTLS 업그레이드를 시작하지 않으면 거부됩니다.

  1. ldapsearch -H ldap:// -x -b "dc=example,dc=com" -LLL dn



Confidentiality required (13)
Additional information: TLS confidentiality required

STARTTLS 연결이 여전히 올바르게 작동함을 입증할 수 있습니다.

  1. ldapsearch -H ldap:// -x -b "dc=example,dc=com" -LLL -Z dn



dn: dc=example,dc=com

dn: cn=admin,dc=example,dc=com

결론

이제 STARTTLS 암호화로 구성된 OpenLDAP 서버가 있어야 합니다. TLS를 사용하여 OpenLDAP 서버에 대한 연결을 암호화하면 연결 중인 서버의 ID를 확인할 수 있습니다. 또한 중간 당사자로부터 트래픽을 보호합니다. 개방형 네트워크를 통해 연결할 때 트래픽 암호화는 필수적입니다.