Mithilfe der Anleitungen in diesem Artikel können Sie Ihren LDAP-Client mit Secure LDAP verbinden.
WICHTIG:
- Dokumentation des Anbieters
Die Angaben in diesem Artikel dienen nur als Referenz und können sich ändern. Lesen Sie deshalb auch die Unterlagen Ihres Anbieters, denn gegebenenfalls gibt es dort aktuellere Vorgehensweisen. - Vorbereitung
Bevor Sie diese Anleitung verwenden, sollten Sie folgende Schritte bereits ausgeführt haben: LDAP-Clients hinzufügen, Zugriffsberechtigungen konfigurieren, generiertes Zertifikat herunterladen und optional Anmeldedaten generieren. - Konnektivitätstests
Bevor Sie mit diesen Schritten beginnen, können Sie mithilfe einfacher Tools wie ldapsearch, ADSI oder ldp.exe die Konnektivität prüfen. Die Tools eignen sich auch zur Behebung von Fehlern, die unter Umständen beim Verbinden Ihres LDAP-Clients mit Secure LDAP auftreten. Eine entsprechende Anleitung finden Sie im Hilfeartikel Konnektivität für Secure LDAP testen. - Einrichtung abschließen:
Nachdem Sie den LDAP-Client gemäß dieser Anleitung verbunden haben, müssen Sie die Einrichtung abschließen. Ändern Sie dazu den Dienststatus in der Admin-Konsole auf An. Wie das geht, erfahren Sie unter Schritt 5: LDAP-Clients aktivieren.
Inhalt
Dieser Artikel enthält die folgenden Abschnitte:
- Allgemeine Konfigurationsanleitung: Grundlegende Informationen zum Verbinden von LDAP-Clients, die in diesem Artikel nicht erwähnt werden
- Konfigurationsanleitung für bestimmte LDAP-Clients: Informationen zum Verbinden bestimmter LDAP-Clients wie Atlassian Jira oder OpenVPN mit Secure LDAP. Die konkreten Schritte unterscheiden sich je nach Art des Clients.
- Konfigurationsanleitung für Java-Anwendungen: Grundlegende Informationen zu Java-basierte Anwendungen, die LDAP-Funktionen bieten
- Optional: Stunnel als Proxy verwenden: Anleitung zum Verbinden von LDAP-Clients unter besonderer Berücksichtigung solcher, die keine digitalen Zertifikate unterstützen
In den Anleitungen wird davon ausgegangen, dass Sie den Clientschlüssel ldap-client.key und das Zertifikat ldap-client.crt haben.
Allgemeine Konfigurationsanleitung
In diesem Abschnitt erfahren Sie, wie Sie Ihren LDAP-Client mit Secure LDAP verbinden. Wenn Sie ihn unten nicht finden können, lesen Sie die Dokumentation des Anbieters.
Hinweis: Bei manchen LDAP-Clients, z. B. Atlassian Jira und SSSD, werden während der Authentifizierung eines Nutzers weitere Informationen zu diesem gesucht. Damit bei solchen LDAP-Clients die Nutzerauthentifizierung funktioniert, müssen Sie für alle Organisationseinheiten, für die Nutzeranmeldedaten überprüfen aktiviert ist, auch die Option Nutzerinformationen lesen verwenden. Weitere Informationen finden Sie unter 2. Zugriffsberechtigungen konfigurieren.
So verbinden Sie den LDAP-Client mit Secure LDAP:
- Konfigurieren Sie Ihren LDAP-Client mit Cloud Directory als LDAP-Server.
- Laden Sie das Zertifikat auf Ihren LDAP-Client hoch.
In Secure LDAP werden als primäre Authentifizierungsmethode TLS-Clientzertifikate verwendet. Öffnen Sie die Authentifizierungs- oder Verzeichniseinstellungen des LDAP-Clients und geben Sie die Daten aus der Tabelle unten ein, bevor Sie das Zertifikat hochladen.Hinweis: Ausführliche Informationen dazu, wie und wo TLS-Zertifikate hochgeladen werden, finden Sie in der Dokumentation Ihres Anbieters.
In der folgenden Tabelle finden Sie grundlegende Verbindungsinformationen:
Hostname |
ldap.google.com |
Ports |
389 bei LDAP mit aktiviertem StartTLS |
Basis-DN |
Ihre Domain im DN-Format (Distinguished Name). Beispiel: dc=beispiel,dc=de für beispiel.de |
Nutzername und Passwort |
Bei manchen LDAP-Clients benötigen Sie für die Authentifizierung nicht nur ein Zertifikat, sondern auch einen Nutzernamen und ein Passwort. Wenn „Nutzername“ und „Passwort“ keine Pflichtfelder sind, können Sie diesen Schritt überspringen. Erstellen Sie in der Admin-Konsole einen Nutzernamen und ein Passwort. Weitere Informationen |
Clientzertifikate und Schlüsseldateien |
Verwenden Sie das Zertifikat und die Schlüsseldatei, die Sie aus der Google Admin-Konsole heruntergeladen haben. Wenn ein LDAP-Client die Authentifizierung über ein Zertifikat nicht unterstützt, müssen Sie Stunnel als Proxy verwenden. WICHTIG: Bei einigen LDAP-Clients wie Apache Directory Studio wird das Hochladen digitaler Zertifikate nicht unterstützt. Sie können dieses Problem umgehen, indem Sie Stunnel als Proxy verwenden. |
Konfigurationsanleitung für bestimmte LDAP-Clients
Konfigurationsanleitung für Java-Anwendungen
Die meisten Java-basierten Anwendungen, die LDAP-Funktionen bieten, können für die Authentifizierung mit Clientzertifikaten konfiguriert werden, indem Sie Ihre Clientzertifikate im Schlüsselspeicher der Anwendung installieren. Die konkreten Konfigurationsdateien unterscheiden sich zwar zwischen den Anwendungen, aber der Vorgang als solcher ist in der Regel ähnlich. Für die Einrichtung müssen OpenSSL und eine Java-Laufzeitumgebung installiert sein.
-
Konvertieren Sie das Zertifikat und die Schlüssel in das Schlüsselspeicher-Format von Java. Sie werden während des Vorgangs mehrfach nach Passwörtern gefragt. Wählen Sie ein sicheres Passwort aus und verwenden Sie es bei allen Eingabeaufforderungen wieder. Im folgenden Beispiel heißt Ihre Clientschlüsseldatei ldap-client.key:
Verwenden Sie unter macOS oder Linux die Befehle:
$ openssl pkcs12 -export -out java-application-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key
Verwenden Sie unter Windows die Befehle:$ certutil -mergepfx ldap-client.crt java-application-ldap.pkcs12
Wichtig: Die beiden Dateien <CERT_FILE>.crt und <CERT_FILE>.key müssen sich im selben Verzeichnis befinden. Außerdem müssen sowohl key als auch crt einen (abgesehen von der Dateierweiterung) identischen Namen haben. In diesem Beispiel verwenden wir die Namen ldap-client.crt und ldap-client.key.
- Importieren Sie das Zertifikat in den Keystore:
$ keytool -v -importkeystore -srckeystore java-application-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore java-application-ldap.jks -deststoretype JKS
- Wie die Java-Eigenschaften konfiguriert werden, hängt von der jeweiligen Anwendung ab. Oft können Sie sie mit der Option -D in der Java-Befehlszeile festlegen. Legen Sie die Java-Eigenschaften für Ihre Anwendung fest:
javax.net.ssl.keyStore = /<path-to>/java-application-ldap.jks
javax.net.ssl.keyStorePassword = <oben ausgewähltes Passwort>
- Konfigurieren Sie die LDAP-Verbindungseinstellungen der Anwendung mithilfe der Allgemeinen Konfigurationsanleitung.
Optional: Stunnel als Proxy verwenden
Wenn ein Client die LDAP-Authentifizierung über ein Zertifikat nicht unterstützt, können Sie Stunnel als Proxy verwenden.
Mit diesem Programm wird dem LDAP-Server das Clientzertifikat bereitgestellt und der Client wird für die Verbindung mit Stunnel konfiguriert. Stunnel sollte auf demselben Server ausgeführt werden wie Ihre Anwendung und Sie sollten nur die lokale Überwachung nutzen, damit das LDAP-Verzeichnis nicht außerhalb dieses Servers verfügbar ist.
Gehen Sie so vor:
- Installieren Sie Stunnel. Auf Ubuntu geht das zum Beispiel so:
$ sudo apt-get install stunnel4
- Erstellen Sie eine Konfigurationsdatei /etc/stunnel/google-ldap.conf mit den folgenden Inhalten (ldap-client.crt ist in diesem Beispiel das Zertifikat und ldap-client.key der Schlüssel):
[ldap]
client = yes
accept = 127.0.0.1:1636
connect = ldap.google.com:636
cert = ldap-client.crt
key = ldap-client.key
- Wenn Sie Stunnel aktivieren möchten, bearbeiten Sie /etc/default/stunnel4 und setzen Sie den Wert auf ENABLED=1.
- Starten Sie Stunnel neu.
$ sudo /etc/init.d/stunnel4 restart
- Konfigurieren Sie die Anwendung so, dass sie auf ldap://127.0.0.1:1636 verweist.
Sie können „1636“ auch durch einen anderen ungenutzten Port ersetzen, wenn Sie die Zeile accept in der Konfigurationsdatei oben entsprechend anpassen. Dabei müssen Sie zwischen dem Client und Stunnel LDAP als Nur-Text ohne aktivierte StartTLS/SSL/TLS verwenden, da die Kommunikation lokal stattfindet.
Hinweis: Wenn Sie sich dazu entschließen, Stunnel auf einem separaten Server auszuführen, müssen Sie Ihre Firewalls so konfigurieren, dass nur die erforderlichen Anwendungen auf den Stunnel-Server zugreifen können. Stunnel lässt sich auch so konfigurieren, dass TLS verwendet wird, damit die Daten zwischen der Anwendung und den Stunnel-Servern verschlüsselt werden. Die Details dieser beiden Konfigurationen hängen von Ihrer Umgebung ab.
Nächste Schritte
Nachdem Sie den LDAP-Client mit Secure LDAP verbunden haben, müssen Sie seinen Dienststatus auf An setzen.
Genauere Informationen hierzu finden Sie unter Schritt 5: LDAP-Clients aktivieren.
Hinweis: Bei Bedarf können Sie einfache Tools wie ldapsearch, ADSI oder ldp.exe zur Fehlerbehebung verwenden, wenn beim Verbinden Ihres LDAP-Clients mit dem Dienst Probleme auftreten. Weitere Informationen zu Verbindungstests und Fehlerbehebung