Aprovisionamiento de Identidad - Tareas #5000

Verificar conexiones LDAP en TLS

11/24/2015 12:33 PM - Andrés Pías

Status: En curso Start date: 11/24/2015

Priority: Normal Due date:

Assignee: Andrés Pías % Done: 20%

Category: Estimated time: 0.00 hour

Target version: Spent time: 4.25 hours

Description

Hay que revisar que todas las conexiones LDAP a nuestros servicios estén hechas por TLS.

Related issues:

Related to Aprovisionamiento de Identidad - Tareas # 5295: Crear certificados... En curso 04/26/2016

Related to Comisión Coordinadora Interior - Tareas # 5413: Instalación de Nex... Cerrada 07/04/2016

Related to Servicios de nube - Tareas # 5464: Alternativa cloud.csic.edu.uy En curso 09/21/2016

Related to Aprovisionamiento de Identidad - Tareas # 5708: No funciona la aut... Resuelta 06/13/2017

Related to Sistema de Reserva MRBS - Tareas # 5807: Actualización y nuevas fu... Resuelta 09/20/2017

History

#1 - 11/24/2015 06:40 PM - Andrés Pías

- Status changed from Nueva to En curso

#2 - 11/25/2015 01:26 PM - Andrés Pías

- % Done changed from 0 to 20

- Redmine quedó conectado. no maneja conexiones TLS, pero si permite conexión LDAPS que ya estaba activada.

- Owncloud no estaba conectado por TLS.

En la documentación de Owncloud, nos decía que además de elegir el puerto 389 (como lo define TLS) había que "install tls certificate on ownCloud

server".

La activación del TLS dejó de estar visible en la interfaz web desde hace varias versiones atrás. La forma de activar/desactivar el soporte es a través de la

base de datos, como root:

su - postgres

psql -U postgres owncloud-interior

owncloud-interior=# select * from oc_appconfig where configkey like '%tls%';

appid | configkey | configvalue

user_ldap | ldap_tls | 0

owncloud-interior=# update oc_appconfig set configvalue = 1 where configkey = 'ldap_tls';

De todas formas la conexión seguía sin funcionar. Desde los logs de Owncloud, se veían errores como:

ldap_start_tls(): Unable to start TLS: Connect error at /var/www/owncloud/apps/user_ldap/lib/ldap.php#257

Investigando vemos que hay problemas de PHP con los certificados TLS: aca y aca

Errores de que PHP no encuentra sus certificados.

Se creó un ejemplo para ver el problema de la función start_tls de Php: http://freud.csic.edu.uy/prueba/ldaptls.php

07/23/2020 1/2

El procedimiento que funcionó fue copiar el certificado TLS que puede ser encontrado en Wschebor en el archivo /etc/ldap/ldap.conf a Halley en la

ubicación /etc/ssl/certs/.

Luego desde Halley configuramos que el servidor conozco el certificado:

chmod 644 /etc/ssl/certs/CAcert_interior.edu.uy.pem

nano /etc/ldap/ldap.conf

TLS_CACERT /etc/ssl/certs/CAcert_interior.edu.uy.pem

service apache2 restart

- Hay que ver si el MCU no cae en el caso de Owncloud

- Hay que ver Openfire de pasarlo a TLS ahora.

#3 - 04/26/2016 09:17 PM - Daniel Viñar Ulriksen

- Related to Tareas #5295: Crear certificados Lets encrypt para Wschebor y varela added

#4 - 04/28/2016 06:27 PM - Andrés Pías

Tambien aplicamos TLS en el MRBS.

#5 - 07/25/2016 03:10 PM - Daniel Viñar Ulriksen

- Related to Tareas #5413: Instalación de NextCloud added

#6 - 07/25/2016 03:26 PM - Daniel Viñar Ulriksen

Complemento: el certificado y la gestión de la CA están acá: [[ca:Autoridad de Certificación]].

#7 - 11/10/2016 12:58 PM - Daniel Viñar Ulriksen

- Related to Tareas #5464: Alternativa cloud.csic.edu.uy added

#8 - 06/13/2017 02:08 PM - Andrés Pías

- Related to Tareas #5708: No funciona la autenticación en nube.xxx added

#9 - 10/20/2017 01:42 PM - Andrés Pías

- Related to Tareas #5807: Actualización y nuevas funcionalidades en MBRS Unorte added

07/23/2020 2/2