====== OpenLDAP et Let's Encrypt ======

===== Préparation =====

<code bash>adduser openldap ssl-cert
chgrp ssl-cert /etc/letsencrypt/archive/ /etc/letsencrypt/live/
chmod g+rx /etc/letsencrypt/archive/ /etc/letsencrypt/live/
find /etc/letsencrypt/archive/ -name privkey*.pem -exec chown root:ssl-cert \{\} \; -exec chmod g+r \{\} \;
service slapd stop ; service slapd start # Pour application de l'ajout du groupe</code>

<note important>La commande ''find'' est a lancer après chaque renouvellement du certificat.</note>
===== Configuration =====

  * Créer le fichier LDIF ///tmp/ssl.ldif// : <code ldif>dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/letsencrypt/live/CERT/chain.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/letsencrypt/live/CERT/cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/letsencrypt/live/CERT/privkey.pem
-</code>
  * Appliquer la modification : <code bash>ldapmodify -h 127.0.0.1 -D cn=admin,cn=config -W -f /tmp/ssl.ldif
# OR :
ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/ssl.ldif</code>
  * **Optionnel :** Pour activer le LDAPS, éditer le fichier ''/etc/default/slapd'' et ajouter ''%%ldaps:///%%'' à la variable ''SLAPD_SERVICES''.