Openldap

如何在 OpenLDAP 中啟用 GPG/PGP 密鑰的儲存

  • September 18, 2013

我到處搜尋,試圖找到一種方法,允許我將現有使用者的 GPG 密鑰儲存在 OpenLDAP 伺服器中。我發現的唯一相關操作方法是this。但是,我無法讓這種方法與現有的 OpenLDAP 數據庫一起使用。我已成功導入架構,但我不知道如何將資訊實際添加到架構中指定的欄位。

如果我可以提供任何其他資訊,請告訴我。

您可以使用 LDIF 文件導入數據,前提是您已在模式中正確設置了屬性。

您引用的此操作指南是用於設置以 LDAP 作為備份儲存的密鑰伺服器,而不是用於將 PGP 密鑰添加到現有架構中的 LDAP 使用者。區別很重要,因為在引用的模式中,PGP 鍵是目錄中的各個實體,而不是使用者。

您如何完成此任務完全取決於您打算如何使用它。如果您只想將密鑰添加到目錄中,只需將 1.3.6.1.4.1.3401.8.2.11 (pgpKey) 屬性添加到目錄中,然後將其添加到架構中作為使用者類的可選屬性即可.

如果您想將此資訊與 GPG(作為密鑰伺服器)一起使用,問題會變得稍微困難一些。您可以按原樣添加架構,並將 PGP 密鑰與其他數據並行儲存。這將是最容易設置的,但從長遠來看更難管理。您也可以嘗試創建一個混合模式,但這需要大量計劃,而且範圍太廣,無法在此處詳述。但是,要查看的內容是您希望如何編寫密鑰(誰有寫權限?也許只是管理員?),以及應該通過哪些屬性來搜尋密鑰。很可能您將能夠將 PGP 密鑰屬性添加pgpCertID $ pgpKey $ pgpDisabled $ pgpKeyID $ pgpKeyType $ pgpUserID $ pgpKeyCreateTime $ pgpSignerID $ pgpRevoked $ pgpSubKeyID $ pgpKeySize $ pgpKeyExpireTime到您的使用者對像中,根據您的需要使它們成為必需的或可選的。如果 LDAP 查詢 GPG 使用恰好檢查objectClass=pgpKeyInfo但是,這可能會很困難,您可能必須在使用者上使用子對象。

也就是說,我建議您不要這樣做,而是設置一個單獨的 LDAP 密鑰伺服器,其中僅包含密鑰,keys.example.net其中 example.net 是您的域。這將得到更多支持,並將防止 keyserver 負載影響您的一般目錄性能。

引用自:https://serverfault.com/questions/539742