STARTTLSを使用してOpenLDAP接続を暗号化する方法

序章

OpenLDAPは、柔軟で十分にサポートされているLDAPディレクトリサービスを提供します。 ただし、すぐに使用できるのは、サーバー自体が暗号化されていないWeb接続を介して通信することです。 このガイドでは、STARTTLSを使用してOpenLDAPへの接続を暗号化し、従来の接続をTLSにアップグレードする方法を示します。 LDAPサーバーとしてUbuntu14.04を使用します。

前提条件

このガイドを開始する前に、サーバーにsudoを設定したroot以外のユーザーが必要です。 このタイプのユーザーをセットアップするには、Ubuntu14.04初期セットアップガイドに従ってください。

このガイドでは、Ubuntu14.04サーバーにOpenLDAPをインストールする方法について説明します。 サーバーにOpenLDAPがすでにインストールされている場合は、関連するインストールと構成の手順をスキップできます。

LDAPOverSSLとSTARTTLSを使用したLDAP

LDAP接続をSSL/TLSで暗号化する方法は2つあります。

従来、暗号化が必要なLDAP接続は、別のポート（通常は636）で処理されていました。 接続全体がSSL/TLSでラップされます。 LDAP over SSLと呼ばれるこのプロセスは、ldaps://プロトコルを使用します。 この暗号化方法は現在廃止されています。

STARTTLSは、LDAP接続を暗号化するための現在推奨されている方法である代替アプローチです。 STARTTLSは、接続プロセス後/接続プロセス中にSSL / TLSでラップすることにより、暗号化されていない接続を「アップグレード」します。 これにより、暗号化されていない接続と暗号化された接続を同じポートで処理できます。 このガイドでは、STARTTLSを使用して接続を暗号化します。

ホスト名とFQDNの設定

開始する前に、サーバーがホスト名と完全修飾ドメイン名（FQDN）を正しく解決するようにサーバーを設定する必要があります。 これは、証明書がクライアントによって検証されるために必要になります。 LDAPサーバーはldap.example.comのFQDNを持つマシンでホストされると想定します。

サーバー上の関連するすべての場所にホスト名を設定するには、hostnamectlコマンドをset-hostnameオプションとともに使用します。 ホスト名を短いホスト名に設定します（ドメイン名コンポーネントは含めないでください）。

sudo hostnamectl set-hostname ldap

次に、/etc/hostsファイルに正しい情報が含まれていることを確認して、サーバーのFQDNを設定する必要があります。

sudo nano /etc/hosts

127.0.1.1IPアドレスをマップする行を見つけます。 IPアドレスの後の最初のフィールドをサーバーのFQDNに変更し、2番目のフィールドを短いホスト名に変更します。 この例では、次のようになります。

. . .

127.0.1.1 ldap.example.com ldap
127.0.0.1 localhost

. . .

終了したら、ファイルを保存して閉じます。

次のように入力すると、これらの値が正しく構成されていることを確認できます。

hostname

これにより、短いホスト名が返されます。

ldap

次のように入力してFQDNを確認します。

hostname -f

これにより、FQDNが返されます。

ldap.example.com

LDAPサーバーとGnuTLSソフトウェアのインストール

ホスト名が正しく設定されていることを確認したら、必要なソフトウェアをインストールできます。 すでにOpenLDAPをインストールして設定している場合は、最初のサブセクションをスキップできます。

OpenLDAPサーバーをインストールします

OpenLDAPをまだインストールしていない場合は、今がそれを修正するときです。 サーバーのローカルパッケージインデックスを更新し、次のように入力してソフトウェアをインストールします。

sudo apt-get update
sudo apt-get install slapd ldap-utils

LDAP管理者パスワードを入力するように求められます。 すぐに再構成するため、プロンプトをスキップしてください。

必要な追加のプロンプトにアクセスするために、インストール後にパッケージを再構成します。 これを行うには、次のように入力します。

sudo dpkg-reconfigure slapd

以下の情報を出発点として、プロンプトに適切に答えてください。

• OpenLDAPサーバー構成を省略しますか？ いいえ（初期データベースと構成が必要です）
• DNSドメイン名： example.com （サーバーのドメイン名からホスト名を差し引いたものを使用します。 これは、情報ツリーのベースエントリを作成するために使用されます）
• 組織名： Example Inc （これは単に組織の名前としてベースエントリに追加されます）
• 管理者パスワード：[好きなもの]
• パスワードの確認：[上記と一致する必要があります]
• 使用するデータベースバックエンド： HDB （2つの選択肢のうち、これが最も機能的です）
• slapdがパージされたときにデータベースを削除しますか？ （あなたの選択。 完全にクリーンな削除を許可するには「はい」を選択し、ソフトウェアが削除されてもデータを保存するには「いいえ」を選択します）
• 古いデータベースを移動しますか？ はい
• LDAPv2プロトコルを許可しますか？ いいえ

SSLコンポーネントをインストールします

OpenLDAPサーバーが構成されたら、接続の暗号化に使用するパッケージをインストールできます。 UbuntuOpenLDAPパッケージはGnuTLSSSLライブラリに対してコンパイルされるため、GnuTLSを使用してSSLクレデンシャルを生成します。

sudo apt-get install gnutls-bin ssl-cert

すべてのツールをインストールしたら、接続の暗号化に必要な証明書とキーの作成を開始できます。

証明書テンプレートを作成する

接続を暗号化するには、認証局を構成し、それを使用してインフラストラクチャ内のLDAPサーバーのキーに署名する必要があります。 したがって、単一サーバーのセットアップでは、2セットのキー/証明書のペアが必要になります。1つは認証局自体用で、もう1つはLDAPサービスに関連付けられています。

これらのエンティティを表すために必要な証明書を作成するために、いくつかのテンプレートファイルを作成します。 これらには、適切なプロパティを持つ証明書を作成するためにcerttoolユーティリティが必要とする情報が含まれます。

テンプレートファイルを保存するディレクトリを作成することから始めます。

sudo mkdir /etc/ssl/templates

CAテンプレートを作成する

最初に認証局のテンプレートを作成します。 このファイルをca_server.confと呼びます。 ファイルを作成してテキストエディタで開きます。

sudo nano /etc/ssl/templates/ca_server.conf

認証局を正常に作成するには、いくつかの情報を提供するだけで済みます。 caオプションを追加して、証明書がCA（認証局）用であることを指定する必要があります。 生成された証明書に追加の証明書に署名する機能を与えるには、cert_signing_keyオプションも必要です。 cnは、認証局に必要なわかりやすい名前に設定できます。

cn = LDAP Server CA
ca
cert_signing_key

ファイルを保存して閉じます。

LDAPサービステンプレートを作成する

次に、ldap_server.confというLDAPサーバー証明書のテンプレートを作成できます。 sudo権限を使用して、テキストエディタでファイルを作成して開きます。

sudo nano /etc/ssl/templates/ldap_server.conf

ここでは、いくつかの異なる情報を提供します。 組織の名前を指定し、tls_www_server、encryption_key、およびsigning_keyオプションを設定して、証明書に必要な基本機能が含まれるようにします。

このテンプレートのcnは、LDAPサーバーのFQDNと一致する必要があります。 この値が一致しない場合、クライアントはサーバーの証明書を拒否します。 証明書の有効期限も設定します。 頻繁な更新を管理する必要がないように、10年間の証明書を作成します。

organization = "Example Inc"
cn = ldap.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 3652

終了したら、ファイルを保存して閉じます。

CAキーと証明書を作成する

テンプレートができたので、2つのキー/証明書のペアを作成できます。 最初に認証局のセットを作成する必要があります。

certtoolユーティリティを使用して、秘密鍵を生成します。 /etc/ssl/privateディレクトリは、root以外のユーザーから保護されており、生成する秘密鍵を配置するのに適した場所です。 次のように入力することで、秘密鍵を生成し、このディレクトリ内のca_server.keyというファイルに書き込むことができます。

sudo certtool -p --outfile /etc/ssl/private/ca_server.key

これで、生成した秘密鍵と前のセクションで作成したテンプレートファイルを使用して、認証局の証明書を作成できます。 これを/etc/ssl/certsディレクトリのca_server.pemというファイルに書き込みます。

sudo certtool -s --load-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ca_server.conf --outfile /etc/ssl/certs/ca_server.pem

これで、認証局の秘密鍵と証明書のペアができました。 これを使用して、LDAPセッションを実際に暗号化するために使用されるキーに署名できます。

LDAPサービスキーと証明書を作成する

次に、LDAPサーバーの秘密鍵を生成する必要があります。 セキュリティ上の理由から、生成されたキーを/etc/ssl/privateディレクトリに再度配置し、わかりやすくするためにファイルldap_server.keyを呼び出します。

次のように入力して、適切なキーを生成できます。

sudo certtool -p --sec-param high --outfile /etc/ssl/private/ldap_server.key

LDAPサーバーの秘密鍵を取得すると、サーバーの証明書を生成するために必要なものがすべて揃います。 これまでに作成したほとんどすべてのコンポーネント（CA証明書とキー、LDAPサーバーキー、およびLDAPサーバーテンプレート）を取り込む必要があります。

証明書を/etc/ssl/certsディレクトリに置き、ldap_server.pemという名前を付けます。 必要なコマンドは次のとおりです。

sudo certtool -c --load-privkey /etc/ssl/private/ldap_server.key --load-ca-certificate /etc/ssl/certs/ca_server.pem --load-ca-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ldap_server.conf --outfile /etc/ssl/certs/ldap_server.pem

LDAPサーバーキーへのOpenLDAPアクセスを許可する

これで、必要なすべての証明書とキーができました。 ただし、現在、OpenLDAPプロセスは独自のキーにアクセスできません。

ssl-certというグループは、/etc/ssl/privateディレクトリのグループ所有者としてすでに存在しています。 OpenLDAPプロセスが（openldap）で実行されているユーザーをこのグループに追加できます。

sudo usermod -aG ssl-cert openldap

これで、OpenLDAPユーザーがディレクトリにアクセスできるようになりました。 ただし、読み取りアクセスを許可できるように、ldap_server.keyファイルの所有権をそのグループに付与する必要があります。 次のように入力して、そのファイルに対するssl-certグループの所有権を付与します。

sudo chown :ssl-cert /etc/ssl/private/ldap_server.key

次に、ssl-certグループにファイルへの読み取りアクセス権を付与します。

sudo chmod 640 /etc/ssl/private/ldap_server.key

これで、OpenSSLプロセスがキーファイルに正しくアクセスできるようになりました。

証明書とキーを使用するようにOpenLDAPを設定する

ファイルがあり、コンポーネントへのアクセスが正しく構成されています。 次に、作成したファイルを使用するようにOpenLDAP構成を変更する必要があります。 これを行うには、構成を変更したLDIFファイルを作成し、それをLDAPインスタンスにロードします。

ホームディレクトリに移動し、addcerts.ldifというファイルを開きます。 構成の変更を次のファイルに入れます。

cd ~
nano addcerts.ldif

構成を変更するには、構成DITのcn=configエントリをターゲットにする必要があります。 エントリの属性を変更することを指定する必要があります。 その後、olcTLSCACertificateFile、olcCertificateFile、およびolcCertificateKeyFile属性を追加し、それらを正しいファイルの場所に設定する必要があります。

最終結果は次のようになります。

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key

終了したら、ファイルを保存して閉じます。 ldapmodifyコマンドを使用して、OpenLDAPシステムに変更を適用します。

sudo ldapmodify -H ldapi:// -Y EXTERNAL -f addcerts.ldif

OpenLDAPをリロードして、変更を適用できます。

sudo service slapd force-reload

クライアントは、STARTTLSを使用して、従来のldap://ポートを介したサーバーへの接続を暗号化できるようになりました。

クライアントマシンのセットアップ

LDAPサーバーに接続してSTARTTLSアップグレードを開始するには、クライアントは認証局の証明書にアクセスでき、アップグレードを要求する必要があります。

OpenLDAPサーバー上

サーバー自体からOpenLDAPサーバーと対話している場合は、CA証明書をコピーし、クライアント構成ファイルを調整することにより、クライアントユーティリティを設定できます。

まず、CA証明書を/etc/ssl/certsディレクトリから/etc/ldapディレクトリ内のファイルにコピーします。 このファイルをca_certs.pemと呼びます。 このファイルを使用して、このマシン上のクライアントがアクセスする可能性のあるすべてのCA証明書を保存できます。 私たちの目的のために、これには単一の証明書のみが含まれます。

sudo cp /etc/ssl/certs/ca_server.pem /etc/ldap/ca_certs.pem

これで、OpenLDAPユーティリティのシステム全体の設定ファイルを調整できます。 sudo権限を使用して、テキストエディタで構成ファイルを開きます。

sudo nano /etc/ldap/ldap.conf

TLS_CACERTオプションの値を調整して、作成したファイルを指すようにします。

. . .

TLS_CACERT /etc/ldap/ca_certs.pem

. . .

ファイルを保存して閉じます。

これで、OpenLDAPユーティリティを使用するときに-Zオプションを渡すことにより、STARTTLSを使用するように接続をアップグレードできるようになります。 STARTTLSのアップグレードを2回渡すことで、強制的にアップグレードできます。 次のように入力して、これをテストします。

ldapwhoami -H ldap:// -x -ZZ

これにより、STARTTLSアップグレードが強制されます。 これが成功すると、次のように表示されます。

anonymous

何かを誤って構成した場合、次のようなエラーが表示される可能性があります。

ldap_start_tls: Connect error (-11)
    additional info: (unknown error code)

リモートクライアントの構成

リモートサーバーからOpenLDAPサーバーに接続している場合は、同様のプロセスを完了する必要があります。 まず、CA証明書をクライアントマシンにコピーする必要があります。 これは、scpユーティリティを使用して簡単に行うことができます。

SSHキーをクライアントに転送する

SSHキーを使用してOpenLDAPサーバーに接続し、クライアントマシンもリモートである場合は、SSHキーをエージェントに追加し、クライアントマシンに接続するときに転送する必要があります。

これを行うには、ローカルマシンで、次のように入力してSSHエージェントを起動します。

eval $(ssh-agent)

次のように入力して、SSHキーをエージェントに追加します。

ssh-add

これで、-Aフラグを追加することにより、LDAPクライアントマシンに接続するときにSSHキーを転送できます。

ssh -A user@ldap_client

CA証明書のコピー

OpenLDAPクライアントに接続したら、次のように入力してCA証明書をコピーできます。

scp user@ldap.example.com:/etc/ssl/certs/ca_server.pem ~/

次に、コピーした証明書を、クライアントが認識しているCA証明書のリストに追加します。 これにより、証明書がすでに存在する場合はファイルに追加され、存在しない場合はファイルが作成されます。

cat ~/ca_server.pem | sudo tee -a /etc/ldap/ca_certs.pem

クライアント構成を調整する

次に、LDAPユーティリティのグローバル構成ファイルを調整して、ca_certs.pemファイルを指すようにします。 sudo権限でファイルを開きます。

sudo nano /etc/ldap/ldap.conf

TLS_CACERTオプションを見つけて、ca_certs.pemファイルに設定します。

. . .

TLS_CACERT /etc/ldap/ca_certs.pem

. . .

終了したら、ファイルを保存して閉じます。

次のように入力して、STARTTLSアップグレードをテストします。

ldapwhoami -H ldap://ldap.example.com -x -ZZ

STARTTLSのアップグレードが成功すると、次のように表示されます。

anonymous

接続でTLSを使用するように強制する（オプション）

STARTTLSプロセスを介して通常のLDAP接続をTLSにシームレスにアップグレードできるように、OpenLDAPサーバーを正常に構成しました。 ただし、これでも暗号化されていないセッションが許可されるため、希望どおりにならない場合があります。

すべての接続に対してSTARTTLSアップグレードを強制する場合は、サーバーの設定を調整できます。 この要件は通常のDITにのみ適用され、cn=configエントリの下でアクセス可能な構成DITには適用されません。

まず、変更する適切なエントリを見つける必要があります。 OpenLDAPサーバーが情報を持っているすべてのDIT（ディレクトリ情報ツリー：LDAPサーバーが処理するエントリの階層）と各DITを構成するエントリのリストを印刷します。

OpenLDAPサーバーで、次のように入力します。

sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "(olcSuffix=*)" dn olcSuffix

応答は次のようになります。

dn: olcDatabase={1}hdb,cn=config
olcSuffix: dc=example,dc=com

サーバーが複数のDITを処理するように構成されている場合は、DITとデータベースのペアが増える可能性があります。 ここでは、dc=example,dc=comのベースエントリを持つ単一のDITがあります。これは、example.comのドメイン用に作成されたエントリです。 このDITの構成は、olcDatabase={1}hdb,cn=configエントリによって処理されます。 暗号化を強制するDITのDNをメモします。

LDIFファイルを使用して変更を加えます。 ホームディレクトリにLDIFファイルを作成します。 これをforcetls.ldifと呼びます。

nano ~/forcetls.ldif

内部で、TLSを強制するDNをターゲットにします。 この場合、これはdn: olcDatabase={1}hdb,cn=configになります。 changetypeを「変更」に設定し、olcSecurity属性を追加します。 このDITのTLSを強制するには、属性の値を「tls=1」に設定します。

dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcSecurity
olcSecurity: tls=1

終了したら、ファイルを保存して閉じます。

変更を適用するには、次のように入力します。

sudo ldapmodify -H ldapi:// -Y EXTERNAL -f forcetls.ldif

次のように入力して、OpenLDAPサービスをリロードします。

sudo service slapd force-reload

これで、dc=example,dc=com DITを検索する場合、-Zオプションを使用してSTARTTLSアップグレードを開始しないと拒否されます。

ldapsearch -H ldap:// -x -b "dc=example,dc=com" -LLL dn

Confidentiality required (13)
Additional information: TLS confidentiality required

STARTTLS接続がまだ正しく機能していることを示すことができます。

ldapsearch -H ldap:// -x -b "dc=example,dc=com" -LLL -Z dn

dn: dc=example,dc=com

dn: cn=admin,dc=example,dc=com

結論

これで、OpenLDAPサーバーがSTARTTLS暗号化で構成されているはずです。 TLSを使用してOpenLDAPサーバーへの接続を暗号化すると、接続しているサーバーのIDを確認できます。 また、中間パーティからトラフィックを保護します。 オープンネットワークを介して接続する場合、トラフィックを暗号化することが不可欠です。