TLS pada replikasi OpenLDAP

Hampir dua tahun yang lalu terakhir kali setup server OpenLDAP. Hingga malam ini ada kesempatan untuk mengingat dan membaca kembali bagaimana cara mengkonfigurasi OpenLDAP server. 

Salah satu hal penting adalah bagaimana melakukan konfigurasi replikasi antara dua server. Saya menyimpan catatan step-by-step tentang hal ini, tapi tidak saya temukan detil konfigurasi menggunakan TLS bersama replikasi.  Error yang terjadi adalah OpenLDAP (slurpd) tidak menerima server yang menggunakan self-signed certificate.

Beruntung dokumentasi OpenLDAP cukup lengkap, sehingga tidak sulit menemukan petunjuk tentang hal ini. Agar tidak lupa berikut adalah caranya:

Pada sisi master,  pastikan file /etc/openldap/slapd.conf terdapat baris seperti berikut:

# Replicas of this database
replogfile /var/lib/ldap/openldap-master-replog
replica host=172.27.1.18:389 starttls=critical
     bindmethod=simple binddn="cn=replicator,dc=mydomain,dc=com"
     credentials=mypass

Dan tambahkan baris berikut pada file /etc/openldap/slapd.conf di  sisi slave server

TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
TLSCertificateFile /etc/pki/tls/certs/slapd.pem
TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem
TLSVerifyClient never

slurpd  pada sisi master server tidak membaca konfigurasi TLS yang terdapat di slapd.conf, tapi di /etc/openldap/ldap.conf. Tambahkan baris berikut pada file tersebut

TLS_CRLCHECK none
TLS_CACERT /etc/pki/tls/certs/ca-bundle.crt
TLS_CERT /etc/pki/tls/certs/slapd.pem
TLS_KEY /etc/pki/tls/certs/slapd.pem
TLS_REQCERT never

Dengan demikian slurpd yang berperan sebagai client akan mengabaikan self-signed certificate.