Назад | Перейти на главную страницу

Как включить хранение ключей GPG / PGP в OpenLDAP

Я много и мало искал, пытаясь найти метод, который позволяет мне хранить ключи GPG для существующих пользователей на сервере OpenLDAP. Единственное, что я нашел, это этот. Однако я не могу заставить этот метод работать с существующей базой данных OpenLDAP. Я успешно импортировал схему, но я не могу понять, как на самом деле добавить информацию в поля, указанные в схеме.

Если я могу предоставить дополнительную информацию, дайте мне знать.

Вы можете использовать файл LDIF для импорта данных, если вы правильно настроили атрибут в схеме.

Это руководство, на которое вы ссылались, предназначено для настройки сервера ключей с LDAP в качестве резервного хранилища, а не для добавления ключей PGP для пользователей LDAP в существующей схеме. Разница важна, потому что в указанной схеме ключи PGP - это отдельные объекты в каталоге, а не пользователи.

Как именно вы выполните эту задачу, зависит от того, как вы собираетесь ее использовать. Если все, что вам нужно, - это поместить ключи в каталог, достаточно добавить атрибут 1.3.6.1.4.1.3401.8.2.11 (pgpKey) в свой каталог, а затем добавить его в схему в качестве необязательного атрибута для вашего класса пользователя. .

Если вы хотите использовать эту информацию с GPG (в качестве сервера ключей), проблема становится немного сложнее. Вы можете добавить схему как есть и хранить ключи PGP параллельно с другими вашими данными. Это было бы проще всего настроить, но сложнее в долгосрочной перспективе. Вы также можете попробовать создать гибридную схему, но это потребует серьезного планирования, которое действительно слишком обширно, чтобы подробно описывать его здесь. Однако стоит обратить внимание на то, как вы хотите, чтобы ключи были записаны (у кого есть разрешение на запись? Может быть, только администраторы?), И по каким атрибутам ключ должен быть доступен для поиска. Скорее всего, вы сможете добавить атрибуты ключа PGP pgpCertID $ pgpKey $ pgpDisabled $ pgpKeyID $ pgpKeyType $ pgpUserID $ pgpKeyCreateTime $ pgpSignerID $ pgpRevoked $ pgpSubKeyID $ pgpKeySize $ pgpKeyExpireTime, делая их обязательными или необязательными для вашего пользовательского объекта. Если запрос LDAP, используемый GPG, проверяет objectClass=pgpKeyInfo однако это может оказаться трудным, и вам, возможно, придется использовать подобъект для ваших пользователей.

Тем не менее, я бы посоветовал вам не делать этого, а вместо этого настроить отдельный сервер ключей LDAP, содержащий только ключи, по адресу keys.example.net где example.net - ваш домен. Это будет намного больше поддерживаться и предотвратит влияние нагрузки на сервер ключей на общую производительность вашего каталога.