こんにちは、サイオステクノロジーの山田です。
今回は、最近RHEL7.5でOpenLDAPを用いてLDAPSを実装する際に、RHEL7.4以前から変わった点があったので、ご紹介したいと思います。
結論から先に申しますと、事前にSSL証明書を任意場所に配置しなければ、LDAPS設定が出来なくなりました。以前まではSSL証明書が無くても後配置でなんとかなっていましたが、それが出来なくなったという訳です。
対象バージョン
以下バージョン以降
REHL:openldap-servers-2.4.44-13.el7_5.x86_64
CentOS:openldap-servers-2.4.44-13.el7.x86_64
対象設定
olcTLSCACertificateFile
olcTLSCACertificatePath
olcTLSCertificateFile
olcTLSCertificateKeyFile
olcTLSCipherSuite
olcTLSCRLCheck
olcTLSCRLFile
olcTLSRandFile
olcTLSVerifyClient
olcTLSDHParamFile
olcTLSProtocolMin
失敗例
失敗例は以下となります。
# cat Setting-ldaps.ldif dn: cn=config changetype: modify replace: olcTLSProtocolMin olcTLSProtocolMin: 3.2 - add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/openldap/[CA証明書] - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/openldap/[サーバー証明書] - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/openldap/[秘密鍵] # ldapmodify -x -W -D cn=config -f Mod-nexi-ldap2.ldif modifying entry "cn=config" ldap_modify: Other (e.g., implementation specific) error (80) または ldap_modify: Insufficient access (50)
以前Redhat社はOpenLDAPは非推奨機能として指定していたはずなのに、このような大きな変更がくるとは思いませんでした。皆様もお気をつけ下さいませ。
