Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » SER300 - Administration d'un serveur d'applications JEE avec Tomcat 8 » SER305 - Sécurité du serveur Tomcat

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

--- elearning:workbooks:tomcat:tc05 [2020/10/28 14:46] – created admin
+++ elearning:workbooks:tomcat:tc05 [2023/12/06 08:13] (Version actuelle) – admin
@@ Ligne 1: / Ligne 1: @@
 ~~PDF:LANDSCAPE~~
+Version : **2023.01**.
 Dernière mise-à-jour : ~~LASTMOD~~
-======SER305 - Sécurité du serveur Tomcat 8======
+======SER305 - Sécurité du serveur Tomcat======
 =====Contenu du Module=====
-  * **SER305 - Sécurité du serveur Tomcat 8**
+  * **SER305 - Sécurité du serveur Tomcat**
     * Contenu du Module
     * Authentification, Autorisation et Cryptage
@@ Ligne 711: / Ligne 713: @@
 [root@centos7 ~]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
 config file testing succeeded
+</code>
+Si vous utilisez CentOS 8 :
+Nettoyez les anciens fichiers de configuration et fichiers de données :
+<code>
+[root@centos8 bin]# rm -Rf /etc/openldap/slapd.d/*
+[root@centos8 bin]# rm -f /var/lib/ldap/alock
+[root@centos8 bin]# rm -f /var/lib/ldap/__db.00?
+</code>
+Copiez le fichier **/usr/share/openldap-servers/DB_CONFIG.example** vers **/var/lib/ldap/DB_CONFIG** :
+<code>
+[root@centos8 bin]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
+</code>
+Copiez le fichier **/usr/share/openldap-servers/slapd.ldif** vers **/etc/openldap/** :
+<code>
+[root@centos8 bin]# cp /usr/share/openldap-servers/slapd.ldif /etc/openldap/
+</code>
+Générez maintenant un mot de passe pour l'administrateur d'OpenLDAP :
+<code>
+[root@centos8 tmp]# slappasswd
+New password: fenestros
+Re-enter new password: fenestros
+{SSHA}dAVyaIZX7WT4DBu6/8yHwQ12+YoTt5os
+</code>
+La commande slappasswd prend les options suivantes :
+<code>
+[root@centos8 tmp]# slappasswd --help
+slappasswd: invalid option -- '-'
+Usage: slappasswd [options]
+  -c format     crypt(3) salt format
+  -g            generate random password
+  -h hash       password scheme
+  -n            omit trailing newline
+  -o <opt>[=val] specify an option with a(n optional) value
+        module-path=<pathspec>
+        module-load=<filename>
+  -s secret     new password
+  -u            generate RFC2307 values (default)
+  -v            increase verbosity
+  -T file       read file for new password
+</code>
+Il convient ensuite de modifier le fichier **/etc/openldap/slapd.ldif ** en y ajoutant la ligne **olcRootPW: {SSHA}dAVyaIZX7WT4DBu6/8yHwQ12+YoTt5os**. Les directives **olcSuffix: dc=my-domain,dc=com** et **olcRootDN: cn=Manager,dc=my-domain,dc=com** doivent être modifiées pour votre système ainsi :
+<file>
+...
+olcSuffix: o=fenestros.loc
+olcRootDN: cn=Manager,o=fenestros.loc
+...
+</file>
+Vous obtiendrez :
+<code>
+[root@centos8 tmp]# vi /etc/openldap/slapd.ldif
+[root@centos8 tmp]# cat /etc/openldap/slapd.ldif
+...
+#
+# Backend database definitions
+#
+dn: olcDatabase=mdb,cn=config
+objectClass: olcDatabaseConfig
+objectClass: olcMdbConfig
+olcDatabase: mdb
+olcSuffix: o=fenestros.loc
+olcRootDN: cn=Manager,o=fenestros.loc
+olcRootPW: {SSHA}dAVyaIZX7WT4DBu6/8yHwQ12+YoTt5os
+olcDbDirectory: /var/lib/ldap
+olcDbIndex: objectClass eq,pres
+olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
+</code>
+<WRAP center round important 60%> **Important** -
+La directive **olcSuffix** indique la racine de l'arbre qui est détenu dans la base de données. La directive **olcRootDN** indique les coordonnées de connexion de l'administrateur de cet arbre. N'utilisez pas cn=**root**.
+</WRAP>
+Initialisez ensuite l'arborescence dans **/etc/openldap/slapd.d** :
+<code>
+[root@centos8 bin]# slapadd -F /etc/openldap/slapd.d/ -n 0 -l /etc/openldap/slapd.ldif
+_#################### 100.00% eta   none elapsed            none fast!
+Closing DB...
 </code>
@@ Ligne 1037: / Ligne 1135: @@
 # keytool -import -alias tomcat -keystore $CATALINA_HOME/security/www_i2tch_loc.keystore -trustcacerts -file <nom_de_votre_certificat>
 </code>
+Pour plus d'informations concernant la création d'un keystore au format **.jks**, consultez cette [[https://www.digicert.com/kb/csr-ssl-installation/tomcat-keytool.htm|page]].
 Dans le cas de ce LAB, nous n'allons pas faire appelle à un PKI. Par conséquent, il convient de signé notre propre CRT avec notre clef privée. Cette action génère un certificat SSL directement dans le keystore :
@@ Ligne 1128: / Ligne 1228: @@
 <code>
-[root@centos7 bin]# cd /root ; openssl genrsa -out www.i2tch.loc.key 1024
+[root@centos7 bin]# cd /root ; openssl genrsa -out www.i2tch.loc.key 2048
 Generating RSA private key, 1024 bit long modulus
 ................++++++
@@ Ligne 1410: / Ligne 1510: @@
     -->
-    <Connector port="8443" proxyPort="443" proxyName="10.0.2.15" />
+    <Connector port="8443" proxyPort="443" proxyName="10.0.2.51" />
 ...
 </file>
@@ Ligne 1825: / Ligne 1925: @@
 -----
-<html>
+Copyright © 2023 Hugh Norris.
-<div align="center">
-Copyright © 2020 Hugh Norris.
-</div>
-</html>

Piste : • DOE302 - Managing Pods, Replication Controllers, ReplicaSets, Deployments, Maintenance and Cluster Updates • DOF310 - StatefulSets, StorageClass Avancé, Helm Avancé et Monitoring • DOF309 - Gestion de Paquets pour Kubernetes avec Helm • LDF800 - Puppet : Configuration et Gestion des Ordinateurs • DOF302 - Gestion des PODs, Contrôleurs de Réplication, ReplicaSets, Deployments, de la Maintenance et des Mises-à-jour du Cluster • workbook14 • VMW007 - VMware vSphere ‐ Les Nouveautés 6.5 vers 6.7 • SER600 - Administration d'un Serveur de Fichiers avec Samba • DOF305 - Gestion du Réseau, des Services et d'une Architecture de Microservices • DOF307 - Troubleshooting K8s

Différences

Recherche

Imprimer/exporter

Menu