Linux 安装并配置 OpenLDAP 新编(8)启用TLS

已于 2022-05-21 17:25:15 修改
阅读量1.1k 收藏 2
点赞数 1
分类专栏: LDAP 文章标签: linux 服务器 运维
于 2022-05-19 08:40:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bashenandi/article/details/124855700
版权

Linux 安装并配置 OpenLDAP 新编(8)启用TLS

原本并不想继续深入了,随便搭建个环境能用即可。后来又觉得已经研究了个5成,至少搞定了TLS达到及格线的水平。于是经过数天无数次的重装、重置,无数次反复的失败,终于摸索出了在类 CentOS8 系统中编译安装 OpenLDAP,并启用 TLS 的方法。

准备工作

环境设定

目前测试服务器的信息如下:

域名/HostnameIPOS
server.example.com192.168.188.220Oracle Linux R8
LDAP系统账户

经过多次尝试,似乎启用TLS一定要用非root帐号的系统账户来进行授权方可,这一点可以仿照CentOS7系统yum安装一样,创建一个专用账户:

useradd -r -M -d /var/lib/openldap -c "OpenLDAP Account" -u 55 -s /usr/sbin/nologin ldap

再再再……次安装

依赖软件

启用TLS的依赖,实际上只需要多一下 openssl 相关软件包即可:

yum install openssl openssl-devel -y
编译及安装
./configure --prefix=/usr --sysconfdir=/etc \
--enable-debug --enable-dynamic --enable-syslog --enable-rlookups \
--enable-slapd --enable-crypt --enable-spasswd --enable-modules \
--enable-overlays=mod \
--with-cyrus-sasl --with-tls=openssl
# 安装
make depend
make
make install

相比之前的编译配置,此次做了如下几处微调:

  • --prefix 以及 --sysconfdir 重新指定了安装后的位置,省的后面再添加 PATH 路径;
  • 改用了 --enable-overlays 来启用所有的模块,模块安装后的位置在:/usr/libexec/openldap;
  • 通过 --with-tls=openssl 来指定提供TLS的组件名称。
创建数据目录
mkdir /var/lib/openldap /etc/openldap/slapd.d
# 设置目录权限
chown -R ldap:ldap /var/lib/openldap
chown root:ldap /etc/openldap/slapd.conf
chmod 640 /etc/openldap/slapd.conf

chown -R ldap:ldap /etc/openldap/slapd.d

创建系统守护进程

编辑服务文件
# vim /etc/systemd/system/slapd.service

[Unit]
Description=OpenLDAP Server Daemon
After=syslog.target network-online.target
Documentation=man:slapd
Documentation=man:slapd-mdb

[Service]
Type=forking
PIDFile=/var/lib/openldap/slapd.pid
Environment="SLAPD_URLS=ldap:/// ldapi:/// ldaps:///"
Environment="SLAPD_OPTIONS=-F /etc/openldap/slapd.d"
ExecStart=/usr/libexec/slapd -u ldap -g ldap -h ${SLAPD_URLS} $SLAPD_OPTIONS

[Install]
WantedBy=multi-user.target
启用守护进程
systemctl daemon-reload

systemctl enable --now slapd

systemctl status slapd

启用证书

此处是一个天坑,,,目前网上能搜到的信息,基本都是按照:生成CA密钥–>生成CA证书–>生成服务器密钥–>生成服务器证书。然而,这只适用于类 CentOS7 系统,在类 CentOS8 中,不需要生成CA密钥即证书!!! 仅就这一点差异,重新安装了不下10遍才实践出真正的缘由。

生成证书
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout \
/etc/pki/tls/ldapserver.key -out /etc/pki/tls/ldapserver.crt
# 修改权限
chown ldap:ldap /etc/pki/tls/{ldapserver.crt,ldapserver.key}

在这一步生成证书的过程中,有些文档提到过CN一定要和服务器名称一致,但是在实测中也确实没有测试过不一致,是不是真的会出问题。

配置文件

此处用服务器证书自身做为CA证书。

# cat add-tls.ldif
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/pki/tls/ldapserver.crt
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/pki/tls/ldapserver.key
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/pki/tls/ldapserver.crt
导入配置
ldapadd -Y EXTERNAL -H ldapi:/// -f add-tls.ldif
slapcat -b "cn=config" | grep olcTLS
客户端配置
# vim /etc/openldap/ldap.conf
TLS_CACERT     /etc/pki/tls/ldapserver.crt

验证配置成功最简单的方式,就是在查询时添加 -Z 或者 -ZZ 参数来指定通过 ldaps 协议访问,例如:

ldapsearch -x -ZZ

参考资料

雨帝夜泪
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux安装nginx + https(tls v1.2)
succeedcow的博客
01-11 1958
linux安装nginx + https(tls v1.2) 1.准备工作 1.nginx-1.17.9.tar.gz 2.openssl-1.1.1m.tar.gz nginx下载地址 openssl下载地址 2.安装 openssl安装 1.将openssl-1.1.1m.tar.gz拷贝到linux并解压 tar -xvf openssl-1.1.1m.tar.gz 2.进入openssl-1.1.1m文件夹编译安装 cd openssl-1.1.1m ./config make make
OpenLDAP配置TLS加密传输
weixin_30764137的博客
09-13 407
原文发表于cu:2016-07-04 参考文档: 基于OpenSSL自建CA与颁发SSL证书:http://seanlook.com/2015/01/18/openssl-self-sign-ca/ OpenLDAP with TLS:http://my.oschina.net/aiguozhe/blog/151554 http://seanlook.com/2015/01/21...
CDH集群启用Sentry Kerberos LDAP
小陌成长之路
04-14 739
CDH集群启用Sentry Kerberos LDAP
Centos7 搭建LDAP并启用TLS加密
weixin_34174132的博客
01-12 1475
简介 LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是为了实现目录服务的信息服务。 目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。在网络中应用了LDAP后,用户只需要使用一个账号和密码就可以轻松访问网络中的所有服务,实现用户身份的统一认证。 简单来说:拿LDAP来统一管理一些账号,例如: Gitlab,...
linux ldap客户端工具,openldap(3)linux客户端 启用ldap、sssd 认证
weixin_34859739的博客
05-04 543
环境:CentOS 6.x1,首先确保ldap服务器已经启用 tls/ssl 认证,并启动ldaps://传输协议2,安装必要软件# yum -y install sssd-ldap nss-pam-ldapd openldap openldap-clients oddjob-mkhomedir sssd3,设置sssd参数authconfig \--passalgo=sha512 \--ena...
centos7 安装OpenLDAP2.5.6遇到的问题
ilyomind的博客
09-15 153
解决: 使用slapd.ldif.default文件,修改官网quick start里需要设置的mdb和dc相关参数,使用这个文件初始化mdb就行。原因: 初始化MDB时,未使用安装生成的默认slapd.ldif文件,按照官网,单独写了一个ldif文件,少了部分内容。升级openssl版本为1.1.1w。
Openldap配置TLS加密传输
10-31
文档内容: 1、为啥要用TLS? 2、SSL/TLS 加密原理简介; 3、Openldap配置TLS加密传输步骤; 4、ldapclient客户端测试;
openldap 开启TLS全步骤
06-05
openldap 开启TLS全步骤
OpenLDAP yum安装配置
05-04
以上步骤完成后,你应该已经在CentOS8系统上成功安装配置OpenLDAP2.4。通过不断优化和调整,可以根据实际需求构建出满足企业级需求的LDAP服务器。记得定期维护和更新,以确保系统的稳定性和安全性。
OpenLDAP安装手册-Linux
03-17
LinuxOpenLDAP安装手册
CentOS 7 环境下 OpenLDAP安装配置
11-02
centos环境 openldap环境搭建与配置
centos 7.6 安装 openldap 2.5.17、centos 7.6 安装phpLDAPadmin 1.2.6.7 (nginx运行phpLDAPadmin)
最新发布
OceanWaves1993的博客
03-09 1095
本文所用组件版本说明,下载链接在文中对应章节想要快速上手openldap,一定要按照这个版本组合就可成功安装phpLDAPadmin,因为不同的phpLDAPadmin版本对于php的版本要求是不同的。服务器:centos 7.6php:8.0.0其他版本有兴趣的话请自行测试。
配置 OpenLDAP 使用 SSL/TLS 加密数据通信
long12310225的专栏
08-30 2958
OpenLDAP 和 OpenSSL 简介 OpenLDAP 是最常用的目录服务之一,它是一个由开源社区及志愿者开发和管理的一个开源项目,提供了目录服务的所有功能,包括目录搜索、身份认证、安全通道、过滤器等等。大多数的 Linux 发行版里面都带有 OpenLDAP安装包。OpenLDAP 服务默认使用非加密的 TCP/IP 协议来接收服务的请求,并将查询结果传回到客户端。由于大多数目录
Linux CentOS 8、OpenCloudOS 8.x 安装Docker教程
hkl_Forever的博客
06-21 1163
【1】默认在 etc/docker/ 目录下 daemon.json 文件中配置, etc/docker/daemon.json。2、查看 Docker 版本信息,如果显示 Client 和 Service 两部分,说明 docker 已经成功启动。【3】在该文件中配置如下国内各个镜像加速服务,会提升docker镜像下载速度。【2】如果 daemon.json 文件不存在,需要手动创建该文件。5、查看仓库中所有docker版本,并选择版本安装。1、启动 Docker,设置开机启动 Docker。
【LDAP】centos搭建openldap
芒果黑的博客
03-13 861
参考文章:https://cloud.tencent.com/developer/article/1026304 https://blog.csdn.net/weixin_41004350/article/details/89521170 操作过程中出现问题可查看这两篇文章做对比 准备 由于是首次搭建,需要完全参考别人的方法来尝试,所以安装的是centos7桌面版本,这样方便复制粘贴及使用目录结构查看文件 环境:VMware15.5 + CentOS...
Openldap开启TLS
Swordfall的博客
04-20 2342
1. 概述   为啥要用TLS?   Openldap默认使用简单验证,对slapd的所有访问都使用明文密码通过未加密通道进行。为了确保信息安全,需要对信息进行加密传输,SSL(Secure Sockets Layer)是一个可靠的解决方案。   它使用X.509证书,由可信任第三方(Certificate Authority(CA))进行数字签名的一个标准格式的数据。有效的数字签名意味着已签名...
Java:Linux上禁止使用TLS1.0、TLS1.1、SSLv3协议
书香水墨
10-28 3531
1、查找JDK安装目录 which java ==> /user/bin/java ls -lrt /user/bin/java ==> /etc/alternatives/java ls -lrt /etc/alternatives/java ==> /usr/lib/jvm/java-1.8/jre/bin/java 打开 /usr/lib/jvm/java-1.8/jre/security/java.security 文件 在文件最后添加 jdk.tls.disabledAlgor
centos7 openldap编译安装(含部署日志)
巨魔战将
07-31 1235
######################################## OS:CentOS Linux release 7.3.1611 (Core) db:berkeleydb-5.1.29 lpad:openldap-2.4.48 ######################################## ############################## 解压 ta...
TLS 配置和使用
laughing_cui的专栏
09-12 4152
TLS 配置和使用  该源代码里包含了TLS配置和相应的证书文件。  文件夹里包含证书,pjproject中TLS的支持需要在文件config_site.h中增加预编译#define PJ_HAS_SSL_SOCK 1。(但是好像有问题,需要在H:\Projects\hsp01_dep_bin\static_library\pjproject\pjproject_inc\pj\config_
openldap配置TLS
03-06
可以回答这个问题。openldap配置TLS需要在slapd.conf文件中添加以下内容: TLSCACertificateFile /path/to/ca.crt TLSCertificateFile /path/to/server.crt TLSCertificateKeyFile /path/to/server.key 其中,ca.crt是证书颁发机构的根证书,server.crt是服务器证书,server.key是服务器私钥。配置完成后,需要重启slapd服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

雨帝夜泪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值