6、openldap的OLC配置

最新推荐文章于 2022-11-21 18:26:59 发布
最新推荐文章于 2022-11-21 18:26:59 发布
阅读量4.1k 收藏
点赞数 1
分类专栏: Linux 系统-编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MSDA/article/details/42175361
版权

一、将配置转换成使用olc

1、停止LDAP服务器;
2、编辑slapd.conf
在第一个数据库配置之前加如下的配置项 
# before the first database definition
database config
# NOTE: the suffix is hardcoded as cn=config and 
# MUST not have a suffix directive
# normal rules apply - rootdn can be anything you want
# but MUST be under cn=config
rootdn "cn=admin,cn=config"
# use any of the supported password formats e.g. {SSHA} etc
# or plaintext as shown
rootpw config

    
    

     
     

      
       
3、转换静态配置到动态配置 
   
   

    
    

     
     [bsd]cd /usr/local/openldap
    
    

    
    

     
     # MUST - create standard default directory
    
    

    
    

     
     mkdir slapd.d
    
    

    
    

     
     # convert slapd.conf 
     
     slaptest在sbin下面
    
    

    
    

     
     slaptest -f slapd.conf -F slapd.d
    
    

    
    

     
      
    
    

    
    

     
     # depending on the logged in user when you ran slaptest
    
    

    
    

     
     # you may need to change ownership of slapd.d and all its files
    
    

    
    

     
     chown -R ldap:ldap slapd.d
    
    

    
    

     
     # permissions interestingly seem to need 
    
    

    
    

     
     # a minimum of 0750
    
    

    
    

     
     chmod -R 0750 slapd.d
    
    

    
    

     
      
    
    

    
    

     
     # rename slapd.conf
    
    

    
    

     
     # this step is not necessary but is a useful
    
    

    
    

     
     # precaution to ensure you access slapd.d
    
    

    
    

     
     mv slapd.conf slapd.conf.bak
    
    

    
    

     
      
    
    

    
    

     
     # 用服务的方式启动
    
    

    
    

     
     [fc]/etc/rc.d/init.d/slapd start
    
    

    
    

     
     # 手工启动ldap服务,u表示启动的用户名,-g表示ldap所在的用户组
    
    

    
    

     
     slapd -u ldap -g ldap
    
    

    
    

     
      
    
    

    
    

     
     # [bsd] users need to add
    
    

    
    

     
     # slapd_cn_config="YES" to /etc/rc.conf
    
    

    
    

     
      
    
    

    
    

     
     # 如果上述的命令执行失败,执行如下的指令
    
    

    
    

     
     slapd -d -1 -u ldap -g ldap
6、连接config库
用ldap客户端工具进行连接:


二、使用OLC对LDAP进行动态配置



OLC DIT Layout

6.1.1.4 使用cn=config段

6.1.1.4.1 OLC (cn=config) 概述

6.1.1.4.2 在OLC中添加/删除Schemas
手工转换

1、准备一个要进行转换的schema描述文件 
   
   

    
    

     
     # modified java.schema -- Java Object Schema - used for example purposes only
    
    

    
    

     
     # Copyright Notice
    
    

    
    

     
     
    
    

    
    

     
     #    Copyright (C) The Internet Society (1999).  All Rights Reserved.
    
    

    
    

     
     
    
    

    
    

     
     # Attribute definition
    
    

    
    

     
     attributetype ( 1.3.6.1.4.1.42.2.27.4.1.6
    
    

    
    

     
     	NAME 'javaClassName'
    
    

    
    

     
     	DESC 'Fully qualified name of distinguished Java class or interface'
    
    

    
    

     
     	EQUALITY caseExactMatch
    
    

    
    

     
     	SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
    
    

    
    

     
     	SINGLE-VALUE )
    
    

    
    

     
      
    
    

    
    

     
     # Object Class Definition
    
    

    
    

     
     objectclass ( 1.3.6.1.4.1.42.2.27.4.2.1
    
    

    
    

     
     	NAME 'javaContainer'
    
    

    
    

     
     	DESC 'Container for a Java object'
    
    

    
    

     
     	SUP top
    
    

    
    

     
     	STRUCTURAL
    
    

    
    

     
     	MUST cn )
上述内容放到一个LDIF文件中,并且新建一个cn={1}test, cn=schema,cn=config的ObjectClass。这个ObjectClass必须使用olcSchemaConfig作为父ObjectClass,必须使用 oldAttributeTypes (用来替换 attributetype) and olcObjectClasses (用来替换 objectclass)。将上述文件用如下的LDIF文件替换 
    
    

     
     

      
      # manually edited file
     
     

     
     

      
      # lines in red were added, lines in green were modified
     
     

     
     

      
      # there must be one space at the beginning and end of each line 
     
     

     
     

      
      # in the olcAttributeTypes and olcObjectClasses definitions
     
     

     
     

      
       
     
     

     
     

      
      dn: cn=test,cn=schema,cn=config
     
     

     
     

      
      objectClass: olcSchemaConfig
     
     

     
     

      
      cn: test
     
     

     
     

      
      olcAttributeTypes: ( 1.3.6.1.4.1.42.2.27.4.1.6 
     
     

     
     

      
       NAME 'javaClassName' 
     
     

     
     

      
       DESC 'Fully qualified name of distinguished Java class or interface'
     
     

     
     

      
       EQUALITY caseExactMatch 
     
     

     
     

      
       SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
     
     

     
     

      
      olcObjectClasses: ( 1.3.6.1.4.1.42.2.27.4.2.1 
     
     

     
     

      
       NAME 'javaContainer' 
     
     

     
     

      
       DESC 'Container for a Java object' 
     
     

     
     

      
       SUP top 
     
     

     
     

      
       STRUCTURAL 
     
     

     
     

      
       MUST cn )
     
     

     
     


     
     

    
    
       
       

        
        

         
         ldapadd将新的schema加入config
        
        

        
        

         
         ../bin/ldapadd -x -D "cn=admin,cn=config"  -f /usr/local/openldap/my-schema/java.ldif -w 123456 
        
        

        
        

         
         

        
        

        
        

         
         adding new entry "cn=java,cn=schema,cn=config"

 
使用slaptest进行转换

 
6.1.1.4.3 使用OLC配置 ACL/ACPs(cn=config) 
通过编辑olcDataBase={Z}config下的olcAccess属性可以来动态修改ACL属性, olcDataBase={Z}config可以有多少个?

6.1.1.4.4 Add/Delete Modules using OLC (cn=config)

6.1.1.4.5 Add/Delete Databases using OLC (cn=config)
    数据库类型定义必须使用 olcDatabaseConfig这个ObjectClass,并且必须有olcDataBase和olcDbDirectory这两个属性。这类实体的命名方式用 “olcDatabase={Z}{olcDataType},cn=config”。






















Hive、Impala、Hue集成LDAP
数据开发探索者
11-28 1556
Hive、Impala、Hue集成LDAP
人工智能高性能计算集群建设
Vagrant-Benz
10-11 2502
首先介绍什么是目录服务,目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能;它具有动态的,灵活的,易扩展的特点。LDAP是基于X.500标准的轻量级目录访问协议。目录是一个访问、浏览和搜索而优化的数据库,它成树状组织数据,类似文件目录一样。LDAP目录服务是由目录数据库和一套访问协议组成的系统。
Ldap自定义Schema
Rebel_z的博客
11-21 1456
Ldap自定义Schema,attributetype: Inconsistent duplicate attributeType: "xx",value #0 olcAttributeTypes: Inconsistent duplicate attributeType: "xx"
OpenLDAP添加自定义属性
qq_33017507的博客
10-05 4688
由于OpenLDAP本身提供的属性有限,不能满足每个个性化需求,所有需要对属性进行自定义扩展。 根据LDAP知晓,添加自定义属性需要添加对应的objectClass和AttributeType,即属性对象和该属性所拥有的属性类型。 方法:通过编写schema扩展自定义属性 参考文献:https://www.openldap.org/devel/admin/schema.html 第一步:定义schema 定义一个schema文件分为五步: 获取对象标识符 选择一个名字前缀 创建本地架构文件 定义自定义属性
openldap集中认证(传统方式)
qq_38120778的博客
07-29 1084
yum -y install openldap openldap-clients openldap-servers cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG chown ldap:ldap /var/lib/ldap/* systemctl start slapd.service systemctl enable slapd.service slappasswd ldapadd -Y EXTERN
openLdap扩展用户信息之自定义objectClass
非专业技术员的博客
05-28 2309
1.创建新的schema文件 1.1 创建自己的目录 mkdir /etc/openldap/my 1.2 创建schema文件personExt.schema cd /etc/openldap/my vim personExt.schema 1.3 编辑personExt.schema文件 attributetype:类属性定义 必须确保每个项的oid全局唯一 如:2.16.840.1.113730.3.1.902 1.3.6.1.4.1.1466.115.121.1.15 为字符串
Ubuntu下LDAP和OpenStack Keystone安装集成小结
崔炳华
12-16 2990
OpenStack在Grizzly版本上对LDAP验证机制已经有非常好的支持,Keystone可以通过LDAP服务来进行统一的身份验证。
OpenLDAP 2.4 版本开始,默认配置方式从传统的 `slapd.conf` 转向了动态配置(**OLC: On-Line Configuration**),配置信息存储在 `slapd.d` 目录中。以下是针对动态配置(`slapd.d`)添加 SSL/TLS 支持的完整步骤: --- ### **1. 生成 SSL 证书** #### 1.1 创建证书目录(如果不存在) ```bash sudo mkdir -p /etc/ldap/ssl cd /etc/ldap/ssl ``` #### 1.2 生成自签名证书(测试用) ```bash # 生成根 CA 证书 sudo openssl req -x509 -newkey rsa:2048 -days 3650 -nodes \ -keyout ca.key -out ca.crt \ -subj "/CN=My LDAP CA/O=My Org/C=US" # 生成服务器证书请求(CSR) sudo openssl req -newkey rsa:2048 -nodes \ -keyout server.key -out server.csr \ -subj "/CN=ldap.example.com/O=My Org/C=US" # 用根 CA 签发服务器证书 sudo openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \ -CAcreateserial -out server.crt -days 3650 ``` #### 1.3 设置证书权限 ```bash sudo chown -R openldap:openldap /etc/ldap/ssl sudo chmod 400 /etc/ldap/ssl/*.key sudo chmod 444 /etc/ldap/ssl/*.crt ``` --- ### **2. 配置 OpenLDAP 启用 SSL/TLS** #### 2.1 创建 LDIF 文件(`tls.ldif`) 创建文件 `/tmp/tls.ldif`,内容如下: ```ldif dn: cn=config changetype: modify add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ldap/ssl/ca.crt - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ldap/ssl/server.crt - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ldap/ssl/server.key - add: olcTLSCipherSuite olcTLSCipherSuite: HIGH:!aNULL:!eNULL:!3DES - add: olcTLSProtocolMin olcTLSProtocolMin: 3.3 ``` #### 2.2 应用配置 ```bash sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/tls.ldif ``` #### 2.3 修改监听地址 创建文件 `/tmp/listen.ldif`,内容如下: ```ldif dn: cn=config changetype: modify replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ldap/ssl/server.crt - replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ldap/ssl/server.key - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ldap/ssl/ca.crt - replace: olcSecurity olcSecurity: tls=1 ``` 应用配置: ```bash sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/listen.ldif ``` --- ### **3. 重启 OpenLDAP 服务** ```bash # Ubuntu/Debian sudo systemctl restart slapd # RHEL/CentOS sudo systemctl restart slapd ``` --- ### **4. 验证 SSL 配置** #### 4.1 使用 `ldapsearch` 测试加密连接 ```bash ldapsearch -x -H ldaps://localhost:636 -b "dc=example,dc=com" -D "cn=admin,dc=example,dc=com" -W ``` #### 4.2 检查 SSL 握手 ```bash openssl s_client -connect localhost:636 -showcerts ``` #### 4.3 查看日志(调试用) ```bash journalctl -u slapd -f # 实时查看日志(Systemd系统) ``` --- ### **5. 客户端信任 CA 证书** #### 5.1 将 CA 证书复制到客户端 ```bash # Ubuntu/Debian sudo cp /etc/ldap/ssl/ca.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates # RHEL/CentOS sudo cp /etc/ldap/ssl/ca.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust ``` --- ### **6. 强制禁用明文 LDAP(可选)** 创建文件 `/tmp/disable_plain.ldif`: ```ldif dn: cn=config changetype: modify replace: olcSecurity olcSecurity: tls=1 ssf=256 ``` 应用配置: ```bash sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/disable_plain.ldif ``` --- ### **7. 常见问题处理** #### 错误:`TLS error -8172: Peer's certificate issuer is not recognized` - **原因**:客户端未信任 CA 证书。 - **解决**:确保客户端已正确安装 `ca.crt`。 #### 错误:`Permission denied` 访问证书 - **解决**: ```bash sudo chown openldap:openldap /etc/ldap/ssl/* sudo chmod 400 /etc/ldap/ssl/server.key ``` #### SELinux 限制(RHEL/CentOS) 允许 `slapd` 访问证书文件: ```bash sudo setsebool -P slapd_can_connect_ldap=true ``` --- ### **总结** 通过动态配置(`slapd.d`)启用 SSL/TLS 的步骤与传统 `slapd.conf` 不同,但核心逻辑一致。关键点: 1. 使用 `ldapmodify` 修改 `cn=config` 条目。 2. 确保证书路径和权限正确。 3. 客户端必须信任 CA 证书。
最新发布
05-16
### 启用 OpenLDAP 动态配置下的 SSL/TLS #### 1. 安装必要的软件包 在开始配置之前,确保已安装 `openldap-servers` 和 `openldap-clients` 软件包。如果尚未安装这些组件,则可以通过以下命令完成安装: ```bash ...
centos 10安装ldap
03-26
接下来,安装完openldap-servers和openldap-clients之后,需要配置slapd.conf或者使用OLC(在线配置)。现在CentOS可能默认使用OLC,所以可能需要用cn=config的方式进行配置,但用户可能更熟悉传统的slapd.conf方式...
【OpenStack】Openstack Keystone LDAP后端配置
代码改变世界
08-23 4478
这篇文章是我的团队成员kiwik的实战记录总结,如需再次转发,请标明文章出处! 写在最前面: 以下内容在openstack G版2013.1代码和ubuntu 12.04 LTS环境验证 LDAP版本为openldap-2.4.28 1、安装LDAP apt-get install ldap-utils apt-get install slapd
Cloudera Manager 配置 LDAP 集成 Kerberos
跟着大数据和AI去旅行
01-26 4885
本文主要记录 cdh hadoop 集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAP 。LDAP 用来做账号管理,Kerberos作为认证。授权一般由Sentry来决定的。 集群包括7个节点,每个节点的ip、主机名和部署的组件分配如下: 192.168.0.200 master Kerberos KDC 、OpenLDAP 192.168.0.2
LDAP ACL(OpenLDAP)
一步一个脚印的专栏
05-24 7122
OpenLDAP ACL
sshd无法启动——Bad configuration option:ForwardX11Trusted
热门推荐
影 的专栏
10-26 1万+
sshd始终无法启动,只有ssh-agent服务开启,而ssh-server始终无法开启。 基本知识: SSH分客户端openssh-client和openssh-server 查看进程: ps -e|grep ssh 如果看到sshd那说明ssh-server已经启动了。 如果没有则可以这样启动:sudo /etc/init.d/ssh start 或者 se
Linux下安装openldap 启动及配置一站式搞定
小蝌蚪的IOS博客专栏
04-03 1万+
外链:Tomcat+LDAP完成认证:http://my.oschina.net/xpbug/blog/198765 1、安装Berkeley DB wget http://download.oracle.com/berkeley-db/db-4.6.21.tar.gz 解压缩 tar zxvf berkeley-db-4.6.21.tar.gz 配置,编译,安. 1、
LDAP中CN,OU,DC等的含义
lhx1026的专栏
11-05 798
转载自:http://stevenit.bokee.com/viewdiary.30578007.html CN,OU,DC都是LDAP连接服务器的端字符串中的区别名称(DN,distinguished    name); LDAP连接服务器的连接字串格式为:ldap://servername/DN       其中DN有三个属性,分别是CN,OU,DC       LDAP是一种通讯...
Linux 安装并配置 OpenLDAP 新编(4)配置详解
05-05 1239
OpenLDAP配置详解,配置的含义等。以及如何配置基本的权限及不同的数据库。
OpenLDAP安装与配置
BeingLucky的博客
04-15 1574
先前从没听说过ldap,毕业设计选了个统一身份认证的题目,然后就一脸蒙蔽了,各种查资料,都没啥靠谱的。后来看到烂泥的openldap配置与安装一文亲测可行。感谢作者注意的地方:1.ldif文件由严格的格式,冒号后面有空格原文目前公司内部有多个系统,而每个系统都有自己的一套用户认证。每次新进或离职一位同事,我们这边OPS运维组的小伙伴们,都要在每个系统上去添加用户,搞得小伙伴们很不爽。为了让OPS运...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值