OpenLDAP 加密传输

最新推荐文章于 2024-01-14 20:20:33 发布
最新推荐文章于 2024-01-14 20:20:33 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Linux案例

一、自建证书颁发机构

    关于证书发布机构的大家,请查看我的博文《CentOS 6使用openssl搭建根CA》

    我下面所操作的是根据前面几篇博文配置好的LDAP,在那上面来进行改动。服务端的IP是192.168.2.10,客户端的IP是192.168.2.11。

二、OpenLDAP 服务端设置

    假设我们的CA自建证书和服务器证书都创建好了,CA的公钥是cacert.pem,服务端的证书名称是ldap.crt,私钥文件是ldap.key,所有的文件放到/etc/openldap/certs。

注意,除了Common Name和Email其他的必须一致,而且服务端的Common Name最好使用IP,如果使用域名,服务器的名称必须和配置的一致。

1、修改证书权限

1
2
chown  -R ldap.ldap  /etc/openldap/certs/ *
chmod  -R 0400  /etc/openldap/certs/ *

2、修改slapd.conf

    找到有关TLS的设置,修改成如下。

1
2
3
TLSCACertificatePath  /etc/openldap/certs
TLSCertificateFile  /etc/openldap/certs/ldap .crt
TLSCertificateKeyFile  /etc/openldap/certs/ldap .key

3、开启OpenLDAP SSL功能

    打开/etc/sysconfig/ldap,把LDAPS改为yes,如下。

1
2
3
4
5
6
7
8
9
10
11
12
13
# At least one of SLAPD_LDAP, SLAPD_LDAPI and SLAPD_LDAPS must be set to 'yes'!
#
# Run slapd with -h "... ldap:/// ..."
#   yes/no, default: yes
SLAPD_LDAP= yes
 
# Run slapd with -h "... ldapi:/// ..."
#   yes/no, default: yes
SLAPD_LDAPI= yes
 
# Run slapd with -h "... ldaps:/// ..."
#   yes/no, default: no
SLAPD_LDAPS= yes

4、加载slapd数据库文件

1
2
3
4
rm  -rf  /etc/openldap/slapd .d/*  
slaptest -f  /etc/openldap/slapd .conf -F  /etc/openldap/slapd .d/  
chown  -R ldap.ldap  /etc/openldap/  
service slapd restart

5、通过CA公钥证书验证OpenLDAP服务端证书的合法性

1
2
[root@mldap ~] # openssl verify -CAfile /etc/openldap/certs/cacert.pem /etc/openldap/certs/ldap.crt 
/etc/openldap/certs/ldap .crt: OK

6、确认当前套接字是否能通过CA的验证

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
[root@mldap ~] # openssl s_client -connect 192.168.2.10:636 -showcerts -state -CAfile /etc/openldap/certs/cacert.pem 
CONNECTED(00000003)
SSL_connect:before /connect  initialization
SSL_connect:SSLv2 /v3  write client hello A
SSL_connect:SSLv3  read  server hello A
depth=1 C = CN, ST = Shanghai, L = Shanghai, O = wzlinux, OU = ldap, CN = ldap.wzlinux.com
verify  return :1
depth=0 C = CN, ST = Shanghai, O = wzlinux, OU = ldap, CN = 192.168.2.10
verify  return :1
SSL_connect:SSLv3  read  server certificate A
SSL_connect:SSLv3  read  server  done  A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL_connect:SSLv3  read  finished A
---
Certificate chain
  0 s: /C =CN /ST =Shanghai /O =wzlinux /OU =ldap /CN =192.168.2.10
    i: /C =CN /ST =Shanghai /L =Shanghai /O =wzlinux /OU =ldap /CN =ldap.wzlinux.com
-----BEGIN CERTIFICATE-----
MIIDOTCCAiGgAwIBAgIBAzANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJDTjER
MA8GA1UECAwIU2hhbmdoYWkxETAPBgNVBAcMCFNoYW5naGFpMRAwDgYDVQQKDAd3
emxpbnV4MQ0wCwYDVQQLDARsZGFwMRkwFwYDVQQDDBBsZGFwLnd6bGludXguY29t
MB4XDTE2MDgyOTEwMzEyOVoXDTE3MDgyOTEwMzEyOVowWDELMAkGA1UEBhMCQ04x
ETAPBgNVBAgMCFNoYW5naGFpMRAwDgYDVQQKDAd3emxpbnV4MQ0wCwYDVQQLDARs
ZGFwMRUwEwYDVQQDDAwxOTIuMTY4LjIuMTAwgZ8wDQYJKoZIhvcNAQEBBQADgY0A
MIGJAoGBAO7larMYUDs5L95bwqSBWumfADZHyd18H4uDTq00Gh1+cyoDLabCKrjD
1k0novbb5+HLGs9Xu /OcvDfXF3McbbPB02fR6WdNEEqKixpiZ5d0MuVyydENHNE/
dM9BBka8mhZbEQD59fzZrBS7c3LEh3tV51FDNjnFr8Pbu2pKZFq9AgMBAAGjezB5
MAkGA1UdEwQCMAAwLAYJYIZIAYb4QgENBB8WHU9wZW5TU0wgR2VuZXJhdGVkIENl
cnRpZmljYXRlMB0GA1UdDgQWBBTYWRvrVAoWO7tSO8rxB9OVWZ1erzAfBgNVHSME
GDAWgBTCyje4J9eUwtegjNLxaRu3Ff2OzjANBgkqhkiG9w0BAQUFAAOCAQEAP7rK
ejInZsnTNfFpn7ok /DkoLHBngHfUIgLT8da4xwT7v1lyYsIr8rRTyly5q6yc +dlm
3yCXBBRJBRvFGkCZ4cws5JL7jnd3tdkCQ4xrcux8mLAY7+F1sH4jLdPgMirif9nb
PAhmMCN0WuAw8bMCh1VbbKsYofQOdzKZiBz+qGVngxLPQ++5nsfi28a2uuKA4BAi
fYdyhmMdouoIdA4gHUjjkksPsy2NwIZuG5T01QjraVFqP5Di87qMKchKyewJL9M9
j1yHUoNhhUbA6r3N3ZUGZ2lJijBMBSBuG9KUWvaDuL9W /rUYEF4RluMCWBKpt/Kr
kHYQ6NrYE2mVTxaZFg==
-----END CERTIFICATE-----
---
Server certificate
subject= /C =CN /ST =Shanghai /O =wzlinux /OU =ldap /CN =192.168.2.10
issuer= /C =CN /ST =Shanghai /L =Shanghai /O =wzlinux /OU =ldap /CN =ldap.wzlinux.com
---
No client certificate CA names sent
---
SSL handshake has  read  1004 bytes and written 463 bytes
---
New, TLSv1 /SSLv3 , Cipher is AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
     Protocol  : TLSv1.2
     Cipher    : AES256-SHA
     Session-ID: 2F3DC17790E8889F9E4DD8D372F9D0155EF03C448922C8CAAA14B530253D8B1E
     Session-ID-ctx: 
     Master-Key: 8F01D070B54D4A0A6333D6A08B2E58EA8A0E3DBAF02D9F989F4A05B59B3C342C55DDB75ED6CD6E0176A87305EC9811E4
     Key-Arg   : None
     Krb5 Principal: None
     PSK identity: None
     PSK identity hint: None
     Start Time: 1472466741
     Timeout   : 300 (sec)
     Verify  return  code: 0 (ok)
---

三、OpenLDAP 客户端设置

1、使用setup进行配置

wKioL1fEEHaTheLpAACW_8bHF7w744.jpg

wKiom1fEEHeQVrCEAABHXxHPAAI620.jpg


备注:如果使用authconfig配置,使用下面代码,根据自己实际情况进行修改:

1
2
3
4
5
6
7
8
9
10
11
authconfig --enablemkhomedir \
--enableforcelegacy \
--enablelocauthorize \
--enableldaptls \
--enablemd5 \
--enableldap \
--enableldapauth \
--ldapserver=ldaps: //192 .168.2.10 \
--ldapbasedn= "dc=wzlinux,dc=com"  \
--enableshadow \
--update


2、复制CA公钥证书到客户端

    把CA的公钥cacert.pem放到/etc/openldap/cacerts/目录下面。

3、编辑/etc/pam_ldap.conf和/etc/nslcd.conf

    把 ssl start_tls 改成 ssl on。

4、重新启动nslcd

1
service nslcd restart

5、通过客户端匿名测试SSL连接是否正常

1
2
3
4
5
6
[root@test01 cacerts] # ldapwhoami -v -x -Z
ldap_initialize( <DEFAULT> )
ldap_start_tls: Operations error (1)
         additional info: TLS already started
anonymous
Result: Success (0)

6、LDAP用户验证密码

1
2
3
4
5
[root@test01 ~] # ldapwhoami -D "cn=test3,ou=people,dc=wzlinux,dc=com" -W -H ldaps://192.168.2.10 -v
ldap_initialize( ldaps: //192 .168.2.10:636/??base )
Enter LDAP Password: 
dn:cn=test3,ou=people, dc =wzlinux, dc =com
Result: Success (0)

7、通过LDAP看看是否可以认证账号

1
2
3
4
[root@test01 ~] # id test3               
uid=1001(test3) gid=501(app)  groups =501(app)
[root@test01 ~] # getent passwd test3
test3:*:1001:501: test3: /home/test3 : /bin/bash





转载至http://blog.51cto.com/wzlinux/1843801

victoruu
关注
专栏目录
linux服务器tls配置,OpenLDAP配置TLS加密传输
weixin_28900461的博客
05-02 1101
一.环境Server:基于CentOS-7-x86_64-1511Server IP: 172.18.12.203OpenLDAPopenldap-2.4.44已安装二.准备工作1.依赖包#理论上只需要openssl与openssl-develyum install *openssl* -yopenldap编译需要开启"--with-tls"选项,可通过"./configure --help"...
09-OpenLDAP加密传输配置
weixin_34081595的博客
06-09 783
OpenLDAP加密传输配置(CA服务器与openldap服务器异机) 阅读视图 环境准备 CA证书服务器搭建 OpenLDAP服务端与CA集成 OpenLDAP客户端配置 客户端测试验证 故障处理 1. 环境准备 服务器规划 主机 系统版本 IP地址 主机名 时间同步 防火墙 SElinux ldap服务端 Centos 6.9最小化安装 192.168.244.17 ...
Openldap配置TLS加密传输(完整版——shell脚本实现[即在客户端执行代码,即可实现TLS加密])
杰儿__er 的博客
06-14 548
此脚本中只是负责实现了TLS加密配置部分,openLDAP的编译安装以及设置是前期已经配置好的!具体的配置看上上篇文章openLDAP的编译安装以及配置。注意slapd.conf中的配置,脚本中为【suffix "dc=mirage,dc=com"   rootdn  "cn=AuthUsers,dc=mirage,dc=com"】ldapTls.sh代码在此不做太多的解释,配置文档看Openld...
OpenLDAP常见运维管理操作
最新发布
Begoniaish的博客
01-14 2106
(4)测试服务端认证是否成功 ldapwhoami -x -D cn=admin,dc=ldap,dc=test,dc=com -W 在输入密码后显示dn:cn=admin,dc=ldap,dc=test,dc=com,则表示成功 ldapwhoami –x 输出anonymous,则表示成功。ldapsearch -x -LLL -D cn=readonly,dc=ldap,dc=test,dc=com -w 密码 -b dc=ldap,dc=test,dc=com。
Openldap集成tls/ssl
weixin_33849215的博客
12-24 453
目录: 方案1:自签名证书 1.Server制作自签名证书 2.修改目录权限及所有者 3.修改配置文件,添加证书路径 4.重新生成配置文件 并启动服务 5.客户端配置及测试 方案2:CA中心签名 CA中心简介 一、建立Ca中心 二、客户机公钥签名 创建证书的另一种方法 三、将签名证书和CA证书导入ldap s...
Openldap配置TLS加密传输
10-31
### Openldap配置TLS加密传输 #### 一、为何使用TLS? OpenLDAP 默认使用简单认证机制,这意味着所有针对 slapd 的访问都将使用纯文本密码通过未加密的通道进行。这种认证方式虽然简单,但在网络环境中存在较大的...
开启openldap TLS加密配置指南
OpenLDAP服务器中启用TLS(Transport Layer Security)是非常重要的,因为这可以提供数据传输的安全性,确保用户认证和数据隐私。以下是一个详细的步骤,指导如何在OpenLDAP服务器上配置并启用TLS。 1. 备份配置...
code__openLdapTlsExpectOpenldap配置TLS加密传输(完整版——shell脚本实现[即在客户端执行代码,即可实现TLS加密])
07-05
客户端 注意事项: 脚本必须放在/root/workspace/clildapTls目录下: 需要已经配置好的以下文件: CA.crt CA.key clildapTls.sh index.txt ... 脚本必须放在/root/workspace/serldapTls目录下: ...
openldap-2.4.30.zip_OpenLDAP2.4.30_openldap 2.4 windo_openldap-2
09-23
3. SSL/TLS加密:为了保证数据传输的安全,可以启用SSL/TLS加密,确保通信过程中的数据不被窃取。 4. LDAP同步:OpenLDAP支持与其他目录服务的同步,如Active Directory,以实现跨系统的身份统一。 五、常见问题与...
linux-openldap管理linux用户组密码策略
08-13
openldap 管理linux用户/组、密码策略
Openldap服务器配置错误解决。
weixin_34240520的博客
04-19 737
实验环境。virtualbox虚拟机。rhel5.5的系统。 [root@mail ~]# yum -y install openldap* [root@mail ~]# chkconfig ldap on [root@mail ~]# slappasswd -h {md5} > kl New password: Re-enter new pass...
配置 OpenLDAP Pasword policy (ppolicy)
隔壁老瓦的专栏
09-26 1632
1,加载 ppolicy schema $ sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif 加完了再查看下 schema 列表,已经加上了: $ sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=confi...
openldap加密传输 nslcd之 startTLS & LDAPS
Vic的博客
07-04 2103
http://www.openldap.org/faq/data/cache/185.htmlhttps://www.ibm.com/developerworks/cn/linux/1312_zhangchao_opensslldap/http://blog.sina.com.cn/s/blog_88cdde9f01019vdt.htmlhttp://phorum.study-area.org/i...
openldap加密密码都是不可逆的吗
qq_34486648的博客
03-22 287
但是,尽管密码是不可逆的,黑客仍可以使用密码破解技术来尝试找到与给定散列值相对应的原始密码。为了增加密码的安全性,OpenLDAP 还可以使用“盐”(salt)来增加密码的复杂度,从而降低黑客破解的成功率。OpenLDAP 使用一种称为散列函数(hash function)的算法来加密密码。散列函数是一种单向函数,其将输入数据(即密码)转换为固定长度的哈希值,该哈希值通常被用作加密后的密码。因此,一旦密码被散列,就无法将其还原回原始密码。这意味着,OpenLDAP 中的密码是不可逆的。
OpenLDAP加密
weixin_34220834的博客
08-23 351
传输加密(TLS) 2.4.1注意事项 1)如果在生产环境安装,注意证书的时间问题。可修改CA.pl脚本 2)关于/etc/pki/tls/misc目录下的CA.pl脚本,要安装 yum install o...
用C语言操作LDAP服务器
Sagely's blog
04-28 2402
   毕竟用PHP操作LDAP有局限性,因为当我们用生成证书的函数生成证书以后不可能再用PHP去给LDAP增加条目,所以最近研究了一下C语言操作LDAP,希望能对大家有点借鉴意义,有错误的地方还请原谅。至于如何安装,运行和测试LDAP服务器请看http://www.infosecurity.org.cn/forum/read.php?fid=12&tid=47&fpage=1毕竟用PHP操作LDA
ldap删除重装启动报错main: TLS init def ctx failed: -1处理
NC_NE的博客
01-07 2178
由于ldap之前安装的配置信息有问题,去修改配置信息发现不生效,所以直接删除重装了,但是重装后启动死活起不来,一直报错 以下是排查过程 1、首先查看日志文件 默认安装日志文件/var/log/slapd.log 两个错误,一个checksum 配置文件错误和main: TLS init def ctx failed: -1错误 2、检测配置文件 执行 slaptest -u 出现 config file testing succeeded 说明配置文件che...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值