Вопрос: Как включить сохранение ключей GPG / PGP в OpenLDAP


Я искал высоко и низко, пытаясь найти метод, который позволяет мне хранить ключи GPG для существующих пользователей на сервере OpenLDAP. Единственное, что я нашел, это это, Однако я не могу заставить этот метод работать с существующей базой данных OpenLDAP. Я успешно импортировал схему, но я не могу понять, как фактически добавлять информацию в поля, указанные в схеме.

Если я могу предоставить любую дополнительную информацию, пожалуйста, дайте мне знать.


5
2017-09-18 01:34


Источник




Ответы:


Вы можете использовать LDIF-файл для импорта данных, если вы правильно настроили атрибут в схеме.

Этот способ, на который вы ссылались, заключается в настройке сервера ключей с LDAP в качестве хранилища резервных копий, а не для добавления ключей PGP для пользователей LDAP в вашей существующей схеме. Разница важна, поскольку в ссылочной схеме ключи PGP являются отдельными объектами в каталоге, а не пользователями.

То, как вы выполняете эту задачу, точно зависит от того, как вы собираетесь ее использовать. Если вы хотите получить ключи в каталоге, достаточно добавить атрибут 1.3.6.1.4.1.3401.8.2.11 (pgpKey) в свой каталог, а затем добавить его в свою схему в качестве необязательного атрибута для вашего пользовательского класса ,

Если вы хотите использовать эту информацию с GPG (в качестве сервера ключей), проблема становится немного сложнее. Вы можете добавить схему так, как она есть, и сохранить ключи PGP параллельно с другими данными. Это было бы проще всего настроить, но сложнее управлять в долгосрочной перспективе. Вы также можете попытаться создать гибридную схему, но для этого потребуется существенное планирование, которое действительно слишком обширно. Тем не менее, все, на что нужно обратить внимание, это то, как вы хотите, чтобы ключи были написаны (у кого есть разрешение на запись? Возможно, только администраторы?), И какие атрибуты ключ должен быть доступен для поиска. Скорее всего, вы сможете добавить ключевые атрибуты PGP pgpCertID $ pgpKey $ pgpDisabled $ pgpKeyID $ pgpKeyType $ pgpUserID $ pgpKeyCreateTime $ pgpSignerID $ pgpRevoked $ pgpSubKeyID $ pgpKeySize $ pgpKeyExpireTime, что делает их обязательными или необязательными, как вам требуется, для вашего объекта пользователя. Если используется запрос GPG запроса LDAP, проверьте objectClass=pgpKeyInfo однако это может оказаться затруднительным, и вам, возможно, придется использовать под-объект для ваших пользователей.

Тем не менее, я бы посоветовал вам не делать этого, а вместо этого настроить отдельный сервер ключей LDAP с помощью только ключей в нем, keys.example.net где example.net - ваш домен. Это будет гораздо более поддерживаться и будет препятствовать нагрузке на сервер ключей на производительность вашего общего каталога.


4
2017-09-18 05:03



Спасибо, ваш ответ очень полезен. Если я настрою свой собственный сервер ключей, вы бы посоветовали использовать инструкции, с которой я первоначально ссылался? - zymhan
Полностью. Вот для чего это :) - Falcon Momot