Ldap+sssd认证中TLS加密设置

已于 2023-10-11 14:51:32 修改
阅读量378 收藏 2
点赞数
分类专栏: 运维工作中的技术 文章标签: 运维
于 2023-08-10 08:57:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XXxia1XX/article/details/132201404
版权

安装CA证书

ldap服务器:作为CA请求与客户端 192.168.234.4 cs003
ldap客户端:作为CA中心 192.168.234.3 cs002
大体流程:
此处图的ldap客户端与服务器是TLS的客户端与服务器 (图错了。。但懒得改)
请添加图片描述

1.ldap server+TLS client

  1. 生成02.key文件
    请添加图片描述

  2. 生成02.csr文件
    请添加图片描述

2.ldap client+TLS server
2.1 搭建CA中心

cd /etc/pki/CA/
touch index.txt
echo 01 >serial
vim /etc/pki/tls/openssl.cnf
请添加图片描述
请添加图片描述

2.2 生成CA.crt

请添加图片描述

3.开始进行证书传递

CA向TLS客户端签证书
TLS客户端: scp ldapsrv02.csr root@192.168.234.3:/root
TLS服务端: openssl ca -in /root/ldapsrv02.csr -out /root/ldapsrv02.crt

CA中心向TLS发证书
TLS服务端:
scp /root/ldapsrv02.crt root@192.168.234.4:/root
scp CA.crt root@192.168.234.4:/etc/openldap/certs

TLS客户端安装证书:
mv ldapsrv02.crt /etc/openldap/certs/
mv ldapsrv02.key /etc/openldap/certs/
chown -R ldap:ldap /etc/openldap/certs/

开始配置TLS加密

1.配置LDAP服务端 TLS服务

  1. vim ldap.conf
    请添加图片描述

  2. 删除之前的slapd.d 重新更改slapd.ldif文件
    请添加图片描述

  3. 重新生成slapd.d文件
    请添加图片描述

  4. 更改新生成的slapd.d文件权限
    chown -R ldap:ldap slapd.d

  5. 启动
    systemctl restart slapd

  6. 启动TLS服务
    请添加图片描述

2.配置ldap客户端
yum install sssd*
cp /etc/pki/CA/private/CA.key /etc/openldap/certs/
cp CA.crt /etc/openldap/certs/

配置sssd.conf
请添加图片描述

配置ldap.conf
请添加图片描述

最后配置

添加用户后,加上如下条目 才能正常切换到用户内请添加图片描述

成功后 :
请添加图片描述

添加用户后如果希望第一次登录自动创建家目录(Centos7.9的配置)

authconfig --enablemkhomedir --update
authconfig --test | grep mkhomedir #是否真正开启条目

成功后:
请添加图片描述

TLS加密目的与测试

TLS加密目的:服务器与客户端都可以看到数据,但要保证中间流通的数据包被加密

测试
客户端:执行ldapsearch -x -LLL
使用wireshark抓流量包看下图
客户端看到的
请添加图片描述

数据包看到的

请添加图片描述
注意设置TLS后 ldapsearch -x 无法再查到具体信息 只能ldapsearch -x -ZZ

问题注意:证书中的hostname 必须与 sssd.conf的baseuri形式一致 是IP地址都是IP地址 是主机名都是主机名 不然显示CN中的主机不一致
在这里插入图片描述

在这里插入图片描述

参考文献: https://blog.csdn.net/weixin_42167759/article/details/80509806

尽吾志也,而不能至者,可以无悔矣,其孰能讥之乎?此余之所得也!

狄哥博客
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
LDAP开启TLS
老实人的博客
01-09 7126
LDAP 开启 TLS 服务端 自定义CA签名证书 创建根密钥 openssl genrsa -out laoshirenCA.key 2048 创建自签名根证书 openssl req -x509 -new -nodes -key laoshirenCA.key -sha256 -days 1024 -out laoshirenCA.pem 输出: You are about to ...
配置OpenLDAP使用TLS通讯
06-29
配置OpenLDAP使用TLS通讯,内容丰富,总结全面
CentOS加入AD域实践(使用SSSD
qq_38773240的博客
06-17 1537
在将Linux加入Windows域之前,我们需要确保已经设置了时间服务和DNS服务。先销毁已有票据,再生成新的票据,这里。,添加ip及对应hostname。,添加域名和对应ip。
LDAP TLS配置
weixin_34235457的博客
03-24 450
LDAP模式是明文传输,为了安全起见,最好配置TLS加密方式传输。下面是配置过程(省略了LDAP SERVER的配置过程,前面的文档有)环境:LDAP SERVER1 172.16.42.136LDAP SERVER2 172.16.42.137CA SERVER & LDAP Client172.16.42.135CA Server配置:CA服务器创建私钥#...
LDAP 认证
云满笔记
01-18 1549
LDAP.
LDAP支持TLS协议,JAVA客户端支持
cccfire的博客
03-23 508
服务端支持ldaptls加密传输 参考链接 https://www.golinuxcloud.com/configure-openldap-with-tls-certificates/ 安装openssl yum -y install openssl 生成加密私钥 openssl genrsa -des3 -out ca.key 2048 生成CA证书 openssl req -new -x509 -days 365 -key ca.key -out ca.cert.pem
最新Centos7.9 安装Ldap+SSSD认证
XXxia1XX的博客
08-09 1006
参考视频:https://www.bilibili.com/video/BV1LK4y1T78A/?参考文献:https://www.cnblogs.com/liwanliangblog/p/10584885.html。简要概述流程: 服务端使用ldap提供服务 客户端使用sssd认证服务器 并获得访问权限。料峭春风吹酒醒,微冷,山头斜照却相迎。回首向来萧瑟处,归去,也无风雨也无晴。莫听穿林打叶声,何妨吟啸且徐行。2.添加配置文件信息(整个信息都需要复制与稍微修改)(2) 修改管理员条目与主域。
svn+ldap+sasl认证(svn通过ldap用户进行认证登陆)
06-30
svn+ldap+sasl 认证是指在 svn 服务器使用 ldap 服务器进行用户认证,实现 svn 服务器的安全认证机制。ldap 服务器是一个目录服务,用于存储和管理用户信息,sasl 则是一个安全认证协议,用于在客户端和服务器之间...
Vue+Jwt+SpringBoot+Ldap完成登录认证的示例代码
08-27
我们可以使用Vue-Router的全局路由钩子,在访问任何页面时先判断localStorage是否存在Jwt加密后的Token并且Token是否过期,如果存在且没有过期则正常跳转到请求的页面,不存在或者过期则跳转到登录页重新认证。...
gitlab+LDAP认证安装+同步备份
12-06
### GitLab + LDAP 认证安装与同步备份详解 #### 一、GitLab 安装与配置 **1. 配置 YUM 源** 在 CentOS 6.x 上安装 GitLab 的第一步是配置 YUM 源。可以通过编辑 `/etc/yum.repos.d/gitlab-ce.repo` 文件来完成...
ldap+gerrit+gitweb集成化安装部署
04-06
本文档详细介绍了如何在linux系统下安装ldap、gerrit、gitweb的安装流程。还包括gerrit的ldap认证配置,gerrit+gitweb集成化安装部署流程。
什么是LDAP?
02-12 1956
1. LDAP介绍1.1. LDAP是什么1.2. LDAP是电话簿1.3. LDAP是不是数据库2. LDAP的特点2.1. LDAP的优势2.1.1 跨平台2.1.2 费用及维护2.1.3 复制技术2.1.4 允许使用ACI2.2. LDAP存储什么数据2.3. 什么时候该用LDAP存储数据3. LDAP的基本模型3.1 信息模型:描述LDA
LDAPTLS加密问题
weixin_34176694的博客
07-11 554
LDAP配置TLS加密后,不能登录验证,以下是全过程,望高手赐教 服务器端 # cat /etc/openldap/slapd.conf |grep -v '^#' |sed /^$/d include /etc/openldap/schema/core.schema include /etc/openldap/s...
[OpenBMC] LDAP 设定(三) - LDAPS(LDAP over TLS)
yeiris的博客
01-29 4809
openbmc ldap设定和验证,能从以下几个方向来看 nss-pam-ldapd[OpenBMC] LDAP 设定(一) - nss-pam-ldapd LDAP server 架设 Redfish/Web设定[OpenBMC] LDAP 设定(二) - openldap 伺服架设与BMC的设定 LDAP over TLS 终于到了最后一个部分 LDAPS, 这部分我们会依序介绍 TLS的原理(这边会补充密码学基础) 非对称式加密 vs 对称式加密 数位签章 数位凭证 TLS握.
openldap tls 认证和细节
weixin_33881140的博客
03-04 332
1,ldap server 192.168.98.129 client 192.168.98.128客户端加入到ldap 域,使用ldap账户登录,见 《ldap客户端加入域和ssl加密查询》2,配置CA 认证心129上首先清理掉默认的CA目录,然后重新生成[root@localhostmisc]# cd /etc/pki/[root@localhostp...
ldap启动sssd详细步骤
最新发布
sunxunyong的博客
07-02 307
sssd][nss][pam]***,dc=comEOFid xxx。
linux的sssd服务,sssd – 刷新ldap客户端配置Centos
weixin_42364392的博客
05-07 2075
最近我们更改了我们的LDAP服务器的ip地址(并添加了一些组)(在Suse Enterprise运行),因此也应该更改我们拥有的所有服务器的ldap验证配置.大多数服务器都在Centos上.我们将/etc/sssd/sssd.confldap_uri参数修改为新服务器,但是当我们登录到服务器并创建一个:id user我们获取旧服务器的用户信息,而不是新服务器的用户信息.实际上,如果我们更改s...
OpenLDAP+SSL+SSSD 实现Linux登录集认证
weixin_33935505的博客
07-15 1924
OpenLDAP+SSL+SSSD 实现Linux登录集认证第一部分OpenLDAP之sldap数据库安装1、yum安装yuminstall-yopenldapopenldap-serversopenssh-ldapopenldap-clientsmigrationtools2、配置ssl域名证书,实现ldapTLS加密通信通过域名master.ldap....
【转载】Linux OpenLDAP集成sssd同步用户并集成SSH登录
Mrerlou的博客
10-09 1465
sssd服务是一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是 介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)(1)避免了本地每个客户端程序对认证服务器大量连接,所有本地程序仅联系SSSD,由SSSD连接认证服务器或SSSD缓存,有效的降低了负载。(2)允许离线授权。SSSD可以缓存远程服务器的用户认证身份,这允许在远程认证服务器宕机是,继续成功授权用户访问必要的资源。
CenotOS 5.2:部署Ldap+postfix邮件服务器教程
2. 安装LDAP服务器,虽然文件未明确提及具体步骤,但通常包括下载和编译安装包,配置LDAP服务,如设置目录结构、用户和组,以及可能的安全设置。 3. 安装Postfix,这涉及到编译安装postfix-2.8-20101201.tar.gz,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值