传输安全-LDAP协议安全加固

已于 2024-05-27 15:30:53 修改
阅读量2.1k 收藏 4
点赞数
分类专栏: 信息安全相关 SSL 文章标签: 网络安全 运维
于 2022-07-03 20:20:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54768192/article/details/125588112
版权

信息安全相关 - 建设篇

第一章 传输安全-LDAP协议安全加固

下章内容

第二章 安全审计-Linux用户命令全审计

传输安全-LDAP协议安全加固

前言

诸如堡垒机、跳板机、OA系统、ERP软件、准入系统、运维或审计的等等各种业务系统,都会涉及到使用LDAP协议跟Active Directory目录服务或者RADIUS用户数据库等认证源做用户数据的对接,但传输过程中往往容易被中间人窃取,因为LDAP协议始终是明文传输,即为了加固传输安全,需要将LDAP协议加固到LDAPS协议。

  • 业务系统:支持LDAP协议和LDAPS协议的所有系统

前提条件

使用LDAPS协议需要SSL证书,此例使用自建的CA颁发的SSL证书实现LDAPS传输,以JumpServer、Linux的php-fpm服务、NextCloud等举例说明LDAPS协议如何实现,其他业务系统操作的原理大体一致。

1. JumpServer已跟内网域控对接LDAP,并且成功获取到LDAP用户数据
2. NextCloud已跟内网域控对接LDAP,并且成功获取到LDAP用户数据



JumpServer堡垒机使用LDAPS协议

检查config配置

# 检查jumpserver的config配置文件是否启用了https
[root@jumpserver ~]# grep -A 5 HTTPS /opt/jumpserver/config/config.txt
## HTTPS 配置, 参考 https://docs.jumpserver.org/zh/master/admin-guide/proxy/ 配置
USE_LB=1							# 启用HTTPS
HTTPS_PORT=443						# 指定监听的https端口
SERVER_NAME=jumpserver.xxx.com		# 授权访问的https域名
SSL_CERTIFICATE=jumpserver.pem		# pem证书文件
SSL_CERTIFICATE_KEY=jumpserver.key	# key私钥文件

# 检查jumpserver的web服务器ssl证书是否有效
[root@jumpserver ~]# openssl x509 -in /opt/jumpserver/config/nginx/cert/jumpserver.pem -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            ...
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: DC=com, DC=xxx, CN=自建CA
        Validity
            Not Before: xxx  0 00:00:00 202x GMT
            Not After : xxx  0 05:00:00 202x GMT
        Subject: C=CN, ST=xxx, L=xxx, O=xxx Technology Co., Ltd., OU=xxx Department, CN=*.xxx.com
        Subject Public Key Info:
 						...
        X509v3 extensions:
            X509v3 Subject Alternative Name: 
                DNS:*.xxx.com
                ...
                ...


配置LDAPS

LDAP的地址栏更换成ldaps://domain.com:636的形式即可完成
ldaps1



JumpServer验证LDAPS的传输是否加密

JumpServer使用验证连接性,并在Linux后台使用tcpdump抓636端口的包验证LDAPS

[root@jumpserver ~]# tcpdump -i any port 636
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
22:31:44.102260 IP 192.168.250.9.41388 > ad.xxx.com.ldaps: Flags [S], seq 3945830231, win 29200, options [mss 1460,sackOK,TS val 558954956 ecr 0,nop,wscale 7], length 0
22:31:44.102307 IP 192.168.250.9.41388 > ad.xxx.com.ldaps: Flags [S], seq 3945830231, win 29200, options [mss 1460,sackOK,TS val 558954956 ecr 0,nop,wscale 7], length 0
22:31:44.102327 IP jumpserver.xxx.com.41388 > ad.xxx.com.ldaps: Flags [S], seq 3945830231, win 29200, options [mss 1460,sackOK,TS val 558954956 ecr 0,nop,wscale 7], length 0
22:31:44.102645 IP ad.xxx.com.ldaps > jumpserver.xxx.com.41388: Flags [S.], seq 2213454242, ack 3945830232, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 559796977 ecr 558954956], length 0
22:31:44.102666 IP ad.xxx.com.ldaps > 192.168.250.9.41388: Flags [S.], seq 2213454242, ack 3945830232, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 559796977 ecr 558954956], length 0
22:31:44.102671 IP ad.xxx.com.ldaps > 192.168.250.9.41388: Flags [S.], seq 2213454242, ack 3945830232, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 559796977 ecr 558954956], length 0
22:31:44.102716 IP 192.168.250.9.41388 > ad.xxx.com.ldaps: Flags [.], ack 1, win 229, options [nop,nop,TS val 558954956 ecr 559796977], length 0
22:31:44.102725 IP 192.168.250.9.41388 > ad.xxx.com.ldaps: Flags [.], ack 1, win 229, options [nop,nop,TS val 558954956 ecr 559796977], length 0
22:31:44.102734 IP jumpserver.xxx.com.41388 > ad.xxx.com.ldaps: Flags [.], ack 1, win 229, options [nop,nop,TS val 558954956 ecr 559796977], length 0
22:31:44.104027 IP 192.168.250.9.41388 > ad.xxx.com.ldaps: Flags [P.], seq 1:518, ack 1, win 229, options [nop,nop,TS val 558954957 ecr 559796977], length 517

跟踪seq 3945830231,可以发现JumpServer的源IP 192.168.250.9(Docker里边的IP会被代理成jumpserver.xxx.com)以TCP随机端口向AD域控的ldaps端口发起协议,并且成功建立TCP三次握手

ldaps2




php-fpm使用LDAPS协议

php使用ldaps连接和修改密码

# php启用ldaps
ldap_set_option(NULL, LDAP_OPT_X_TLS_CACERTFILE,"/etc/pki/ca-trust/extracted/openssl/Custom-CA.cer");	# php调用ldap模块的ssl时引用的ca证书路径
ldap_set_option(NULL, LDAP_OPT_DEBUG_LEVEL, 7);				# 启用debug日志调试
putenv('LDAPTLS_REQCERT=never'); 							# 不对ldaps客户端做响应
ldap_set_option($ds, LDAP_OPT_PROTOCOL_VERSION, 3);			# 启用LDAPv3版本,支持域名形式的url
ldap_set_option($ds, LDAP_OPT_REFERRALS, 0);				#

宝塔面板下配置php-fpm

[root@nginx ~]# vim /www/server/php/74/etc/php.ini
...
[curl]
; A default value for the CURLOPT_CAINFO option. This is required to be an
; absolute path.
curl.cainfo = /etc/pki/ca-trust/extracted/openssl/Custom-CA.cer					# php使用curl的ca证书信息

[openssl]
; The location of a Certificate Authority (CA) file on the local filesystem
; to use when verifying the identity of SSL/TLS peers. Most users should
; not specify a value for this directive as PHP will attempt to use the
; OS-managed cert stores in its absence. If specified, this value may still
; be overridden on a per-stream basis via the "cafile" SSL stream context
; option.
openssl.cafile=/etc/pki/ca-trust/extracted/openssl/Custom-CA.cer				# php的openssl模块使用的ca文件路径

; If openssl.cafile is not specified or if the CA file is not found, the
; directory pointed to by openssl.capath is searched for a suitable
; certificate. This value must be a correctly hashed certificate directory.
; Most users should not specify a value for this directive as PHP will
; attempt to use the OS-managed cert stores in its absence. If specified,
; this value may still be overridden on a per-stream basis via the "capath"
; SSL stream context option.
openssl.capath=/etc/pki/ca-trust/extracted/openssl								# php的openssl模块使用的ca目录路径

php-fpm验证LDAPS

(略)



NextCloud文档云使用LDAPS协议

配置openldap

添加TLS_REQCERT allow选项

[root@nextcloud ~]# vim /etc/openldap/ldap.conf

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never

TLS_CACERTDIR   /etc/openldap/certs
TLS_REQCERT allow			####################### 增加这一项即可
# Turning this off breaks GSSAPI used with krb5 when rdns = false
SASL_NOCANON    on

宝塔后台重启Nginx和PHP服务



宝塔面板检查SSL证书

1


配置LDAPS

ldaps3

NextCloud验证LDAPS的传输是否加密

NextCloud使用验证连接性,并在Linux后台使用tcpdump抓636端口的包验证LDAPS

[root@nextcloud ~]# tcpdump -i any port 636
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
20:01:25.469282 IP NextCloud.xxx.com.41896 > ad.xxx.com.ldaps: Flags [S], seq 4037221096, win 29200, options [mss 1460,sackOK,TS val 73287137 ecr 0,nop,wscale 7], length 0
20:01:25.469589 IP ad.xxx.com.ldaps > NextCloud.xxx.com.41896: Flags [S.], seq 1111988770, ack 4037221097, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 578588842 ecr 73287137], length 0
20:01:25.469653 IP NextCloud.xxx.com.41896 > ad.xxx.com.ldaps: Flags [.], ack 1, win 229, options [nop,nop,TS val 73287137 ecr 578588842], length 0
20:01:25.470057 IP NextCloud.xxx.com.41896 > ad.xxx.com.ldaps: Flags [P.], seq 1:290, ack 1, win 229, options [nop,nop,TS val 73287138 ecr 578588842], length 289
20:01:25.472242 IP ad.xxx.com.ldaps > NextCloud.xxx.com.41896: Flags [.], seq 1:1449, ack 290, win 2081, options [nop,nop,TS val 578588845 ecr 73287138], length 1448
20:01:25.472438 IP NextCloud.xxx.com.41896 > ad.xxx.com.ldaps: Flags [.], ack 1449, win 251, options [nop,nop,TS val 73287140 ecr 578588845], length 0
20:01:25.472627 IP ad.xxx.com.ldaps > NextCloud.xxx.com.41896: Flags [P.], seq 1449:2085, ack 290, win 2081, options [nop,nop,TS val 578588845 ecr 73287138], length 636

跟踪seq 4037221096,可以发现NextCloud的源IP NextCloud.xxx.com 以TCP随机端口向AD域控的ldaps端口发起协议,并且成功建立TCP三次握手




参考来源

  1. php使用ldaps连接和修改密码
歪果仨
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
LDAP协议概念
qq_38981656的博客
05-06 1437
Lightweight Directory Access Protocol 一个文件系统,类似目录和文件树;提供了目录服务的所有功能,包括目录搜索、身份认证、安全通道、过滤器等等;由于大多数目录服务都是用于系统的安全认证部分比如:用户登录和身份验证;OpenLDAP 是使用 OpenSSL 来实现 SSL/TLS 加密通信的。 objectClass 含义 olcGlobal 全局配置文件类型, 主要是cn=config.ldif 的配置项 top 顶层的对象 organizatio
verdaccio-ldap:verdaccio的LDAP身份验证插件
02-03
verdaccio-ldap是一个叉sinopia-ldap 。 它的目的是保持与sinopia向后兼容性,同时保持npm的变化。 安装 $ npm install verdaccio $ npm install verdaccio-ldap 在verdaccio-LDAP插件+ OpenLDAP服务器装在泊坞窗...
LDAP协议
qq_18811919的博客
02-07 2215
LDAP协议
jumpserver接入ldap
最新发布
qq_48736646的博客
05-16 480
ldap部署。
LDAP 协议入门
Authing的博客
11-20 1379
什么是 LDAPLDAP 的全称是 Lightweight Directory Access Protocol,轻量目录访问协议。 划重点,LDAP 是一个协议,约定了 Client 与 Server 之间的信息交互格式、使用的端口号、认证方式等内容。而 LDAP 协议的实现,有着众多版本,例如微软的 Active Directory 是 LDAP 在 Windows 上的实现,AD 实现了 LDAP 所需的树形数据库、具体如何解析请求数据并到数据库查询然后返回结果等功能。再例如 OpenLDAP 是可
virtual-ldap:Virtual-LDAP 是一种用于将任何其他帐户服务桥接到 LDAP 协议的服务
05-30
虚拟LDAP Virtual-LDAP 是一种用于将任何其他帐户服务桥接到 LDAP 协议的服务。 使用Virtual-LDAP,您可以使用现有的账号服务(如钉钉)作为许多开源项目的授权服务。 Virtual-LDAP 具有提供程序架构,因此您可以...
flarum-ext-auth-ldap:Flarum的LDAP身份验证扩展,这是一个用于建立社区的简单论坛软件
04-28
Flarum LDAP认证此扩展使用户可以通过LDAP登录 。如何安装composer require tituspijean/flarum-ext-auth-ldap并在Flarum的管理面板中将其激活。语言能力该扩展名已翻译成法文和英文。配置 LDAP server name :在...
ad-ldap-enum:基于LDAP的Active Directory用户和组枚举工具
05-14
ad-ldap-enum 基于LDAP的Active Directory用户和组枚举工具 关于 ad-ldap-enum是一个Python脚本,旨在从Active Directory中发现用户及其组成员身份。 在大型Active Directory环境中,诸如NBTEnum之类的工具执行得...
simple-ldap-search:从LDAP获取数据。 没有什么花哨
05-03
安装$ npm install --save simple-ldap-search用法import SimpleLDAP from 'simple-ldap-search' ;const config = { url : 'ldap://0.0.0.0:1389' , base : 'dc=users,dc=localhost' , dn : 'cn=root' , password : ...
ldap轻量级目录协议
07-24
ldap轻量级目录分析协议的小demo,对ldap的连接以及增删改查都有
ldap:使用ldaps协议对AD 2003进行身份验证
05-13
身份验证应用 使用ldaps协议对AD 2003进行身份验证 入门 这些说明将为您提供在本地计算机上运行并运行的项目的副本,以进行开发和测试。 先决条件 AD服务器 具有读/写访问权限的AD中的auth-app帐户 主机(在JVM的keystore中)和服务器上的LDAPS证书: 192.168.151.10 ad-grsu.grsu.local 您的hosts文件中应该有ad-grsu.grsu.local记录 .\keytool.exe -trustcacerts -keystore "C:\Program Files\Java\jre1.8.0_144\lib\security\cacerts" -storepass changeit -importcert -alias grsu-11 -file ad-grsu.cer .\keytool.exe -trustcacerts
Linux上C++通过LDAP协议使用kerberos认证AES加密连接到AD服务器
weixin_46711630的博客
11-13 844
Linux上C++通过LDAP协议使用kerberos认证AES加密连接到AD服务器,以及配置文件的修改,环境的支持。
浅谈LDAP协议
qq_38413862的博客
04-08 964
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。 LDAP目录以树状...
【TCP/IP协议LDAP,轻型目录访问协议(Lightweight Directory Access Protocol)
par@ish的博客
12-12 1999
LDAP,全称轻型目录访问协议(Lightweight Directory Access Protocol),是一种用于访问、管理和查询分布式目录服务的协议。它广泛应用于企业、组织以及互联网服务提供商(ISP)等场景,为身份验证、访问控制、目录查询和数据管理等功能提供支持。
LDAP协议:轻量目录访问协议详解及应用场景
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
06-05 1946
LDAP协议:轻量目录访问协议详解及应用场景
认证协议LDAP
一只程序猿的修炼之旅
12-25 2072
一、什么是LDAP 定义:基于X.500标准的轻量级目录访问协议,目录是一个为查询、浏览和搜索而优化的数据库,呈树形结构 特点:读性能优异,写性能差,没有事务处理、回滚等复杂功能,不适合存储频繁修改的数据 LDAP目录服务器是由目录数据库和一套访问协议组成的系统 优势:开放的Internet标准,支持跨平台的Internet协议,在业界得到广泛认可,市场上很多产品已经加入了对LDAP的支持,大幅降低了重复开发和对接的成本 二、主要产品 厂商 产品 介绍 SUN SUNONE Director
LDAP协议和AD活动目录的讲解
m0_49864110的博客
12-06 2650
Search Res Ref 服务器返回给客户端供参考的查询结果(如果LDAP服务器存储了其他LDAP服务器的目录信息,且查询的Base-DN一致,那么此报文信息中会列出其他LDAP服务器的URL地址)在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,在树根一般定义为国家(c=CN)或域名(dc=com),再往下则往往定义一个/多个组织单元OU(在定义OU时要避免从一个OU向另一个OU移动LDAP记录)安全组是定义资源和对象权限的任意访问控制列表(DACL)中的组;
怎么知道一个web网址是否使用了LDAP协议
07-12
要确定一个网址是否使用了LDAP(轻量级目录访问协议),可以尝试以下方法: 1. 查看URL:首先,检查网址的URL。如果网址以`ldap://`开头,则可以确定它使用了LDAP协议。例如,`ldap://example.com`。 2. 端口号:LDAP通常使用端口号389进行非加密通信,或者使用端口号636进行加密通信(称为LDAPS)。如果网址中指定了这些端口之一,那么可以推断该网址使用了LDAP协议。 3. 网络请求:可以使用网络工具(例如cURL或telnet)向该网址发送LDAP请求,并查看响应。如果收到LDAP响应,那么可以确定该网址使用了LDAP协议。 需要注意的是,这些方法仅适用于公开的LDAP服务器。如果目标服务器是私有的或需要身份验证,则无法通过这些方法确定其使用的协议。在这种情况下,您可能需要联系网站管理员或查阅相关文档来获取更多信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

歪果仨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值