RHEL7.5以降でのLDAPS実装の注意点

こんにちは、サイオステクノロジーの山田です。

今回は、最近RHEL7.5でOpenLDAPを用いてLDAPSを実装する際に、RHEL7.4以前から変わった点があったので、ご紹介したいと思います。

結論から先に申しますと、事前にSSL証明書を任意場所に配置しなければ、LDAPS設定が出来なくなりました。以前まではSSL証明書が無くても後配置でなんとかなっていましたが、それが出来なくなったという訳です。

対象バージョン

以下バージョン以降
REHL：openldap-servers-2.4.44-13.el7_5.x86_64
CentOS：openldap-servers-2.4.44-13.el7.x86_64

対象設定

olcTLSCACertificateFile
olcTLSCACertificatePath
olcTLSCertificateFile
olcTLSCertificateKeyFile
olcTLSCipherSuite
olcTLSCRLCheck
olcTLSCRLFile
olcTLSRandFile
olcTLSVerifyClient
olcTLSDHParamFile
olcTLSProtocolMin

失敗例

失敗例は以下となります。

# cat Setting-ldaps.ldif
dn: cn=config
changetype: modify
replace: olcTLSProtocolMin
olcTLSProtocolMin: 3.2
-
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/[CA証明書]
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/[サーバー証明書]
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/[秘密鍵]

# ldapmodify -x -W -D cn=config -f Mod-nexi-ldap2.ldif
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
　または
ldap_modify: Insufficient access (50)

以前Redhat社はOpenLDAPは非推奨機能として指定していたはずなのに、このような大きな変更がくるとは思いませんでした。皆様もお気をつけ下さいませ。

非推奨の機能

About 山田康裕 27 Articles

20代前半からLinux系OSSや認証基盤を中心とした提案/設計/構築を担当。特に仕事を選ばない、何でも屋さん。

Twitter YouTube