RHEL7.5以降でのLDAPS実装の注意点

こんにちは、サイオステクノロジーの山田です。

今回は、最近RHEL7.5でOpenLDAPを用いてLDAPSを実装する際に、RHEL7.4以前から変わった点があったので、ご紹介したいと思います。

結論から先に申しますと、事前にSSL証明書を任意場所に配置しなければ、LDAPS設定が出来なくなりました。以前まではSSL証明書が無くても後配置でなんとかなっていましたが、それが出来なくなったという訳です。

対象バージョン

以下バージョン以降
REHL:openldap-servers-2.4.44-13.el7_5.x86_64
CentOS:openldap-servers-2.4.44-13.el7.x86_64

対象設定

olcTLSCACertificateFile
olcTLSCACertificatePath
olcTLSCertificateFile
olcTLSCertificateKeyFile
olcTLSCipherSuite
olcTLSCRLCheck
olcTLSCRLFile
olcTLSRandFile
olcTLSVerifyClient
olcTLSDHParamFile
olcTLSProtocolMin

失敗例

失敗例は以下となります。

# cat Setting-ldaps.ldif
dn: cn=config
changetype: modify
replace: olcTLSProtocolMin
olcTLSProtocolMin: 3.2
-
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/[CA証明書]
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/[サーバー証明書]
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/[秘密鍵]
# ldapmodify -x -W -D cn=config -f Mod-nexi-ldap2.ldif
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
 または
ldap_modify: Insufficient access (50)

以前Redhat社はOpenLDAPは非推奨機能として指定していたはずなのに、このような大きな変更がくるとは思いませんでした。皆様もお気をつけ下さいませ。

非推奨の機能

ご覧いただきありがとうございます! この投稿は役に立ちましたか? 役に立った 役に立たなかった

Be the first to comment

コメント投稿

Your email address will not be published.


*