Como você ativa o armazenamento de chaves GPG / PGP no OpenLDAP?

5

Pesquisei alto e baixo tentando encontrar um método que permita armazenar chaves GPG para usuários existentes em um servidor OpenLDAP. O único procedimento relevante que encontrei é este . No entanto, não consigo usar esse método para trabalhar com o banco de dados OpenLDAP existente. Eu importei com sucesso o esquema, mas não consigo descobrir como realmente adicionar informações aos campos especificados no esquema.

Se eu puder fornecer qualquer informação adicional, por favor me avise.

    
por zymhan 18.09.2013 / 03:34

1 resposta

4

Você pode usar um arquivo LDIF para importar os dados, desde que você tenha configurado o atributo corretamente no esquema.

Como você fez referência é para configurar um servidor de chaves com o LDAP como um armazenamento de apoio, não para adicionar chaves PGP aos usuários do LDAP no seu esquema existente. A diferença é importante, porque no esquema referenciado, as chaves PGP são as entidades individuais no diretório, não os usuários.

Como você realiza essa tarefa depende exatamente de como você pretende usá-la. Se tudo que você deseja é colocar as chaves no diretório, basta adicionar o atributo 1.3.6.1.4.1.3401.8.2.11 (pgpKey) ao seu diretório e adicioná-lo ao seu esquema como um atributo opcional para sua classe de usuário. .

Se você quiser usar essas informações com o GPG (como um servidor de chaves), o problema se torna um pouco mais difícil. Você pode adicionar o esquema como está e armazenar as chaves PGP em paralelo com seus outros dados. Isso seria mais fácil de configurar, mas mais difícil de gerenciar a longo prazo. Você também pode tentar criar um esquema híbrido, mas isso exigirá um planejamento substancial que seja muito amplo em termos de escopo para detalhar aqui. No entanto, as coisas para olhar seria como você deseja que as chaves sejam escritas (quem tem permissão de escrita? Talvez apenas administradores?) E quais atributos a chave deve ser pesquisada por. Muito provavelmente, você poderá adicionar os atributos-chave de PGP pgpCertID $ pgpKey $ pgpDisabled $ pgpKeyID $ pgpKeyType $ pgpUserID $ pgpKeyCreateTime $ pgpSignerID $ pgpRevoked $ pgpSubKeyID $ pgpKeySize $ pgpKeyExpireTime , tornando-os obrigatórios ou opcionais, conforme necessário, ao seu objeto de usuário. Se a consulta LDAP usada por GPG verificar objectClass=pgpKeyInfo , isso pode ser difícil e você pode ter que usar um subobjeto em seus usuários.

Dito isto, aconselho-o a não o fazer e, em vez disso, configure um servidor de chaves LDAP separado apenas com as chaves, em keys.example.net em que exemplo.net é o seu domínio. Isso será muito mais suportado e impedirá que a carga do servidor de chaves cause impacto no desempenho geral do diretório.

    
por 18.09.2013 / 07:03

Tags