OpenLDAP 部署及实践(二)

已于 2022-07-18 10:45:09 修改
阅读量1.4k 收藏 5
点赞数
分类专栏: OpenLDAP 文章标签: ssl linux 服务器
于 2022-02-05 12:24:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29733349/article/details/122779715
版权

OpenLDAP部署

角色主机名操作系统IP地址备注
ldap-1ldap1CentOS7192.168.3.11VIP 192.168.3.10
ldap-2ldap2CentOS7192.168.3.12VIP 192.168.3.10
在两台OpenLDAP上都部署
1.安装OpenLDAP
1-1. 使用yum方式安装OpenLdap
yum install -y openldap openldap-servers openldap-clients compat-openldap
chown -R ldap.ldap /etc/openldap/
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap.ldap /var/lib/ldap/DB_CONFIG
1-2. 启动slapd并开机自启动,查看端口386是否开启
systemctl restart slapd
yum install -y net-tools
netstat -atnulp | grep :389
2.配置OpenLDAP开启TLS
2-1. 采用ldif方式配置Openldap以TLS加密传输并打开636(默认的SSL连接端口)
mkdir /ldif_file
cd /ldif_file
ldapmodify -Y EXTERNAL -H ldapi:/// -f mod_ssl.ldif

sed -i "s#ldap:\/\/\/#& ldaps:\/\/\/#" /etc/sysconfig/slapd
systemctl restart slapd
yum install -y net-tools
netstat -atnulp | grep :636

mod_ssl.ldif 内容

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/certs/CA.crt

replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/ldap.crt

replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/ldap.key
3.验证TLS是否配置成功
3-1. 通过CA证书公钥,验证ldap服务端证书的合法性
openssl verify -CAfile /etc/pki/CA/CA.crt /etc/openldap/certs/ldap.crt

/etc/openldap/certs/ldapsrv.crt: OK

3-2. 通过当前套接字是否能通过CA的验证
openssl s_client -connect $(hostname):636 -showcerts -state -CAfile /etc/openldap/certs/CA.crt
4.配置OpenLDAP的根域和管理员
4-1. 创建Openldap的管理员密码(记住加密后的密码,后续很多地方会使用)
slappasswd -s redhat

{SSHA}DbijN+dbVNqZ0XwFMTecd+PHwT249ILG

4-2. 查看OpenLDAP数据库相关ldif文件及名称
ls -l /etc/openldap/slapd.d/cn\=config

total 36
-rw------- 1 ldap ldap 537 Feb 3 13:38 cn=module{0}.ldif
-rw------- 1 ldap ldap 537 Feb 3 16:32 cn=module{1}.ldif
drwxr-x— 2 ldap ldap 4096 Feb 3 13:28 cn=schema
-rw------- 1 ldap ldap 378 Feb 2 10:58 cn=schema.ldif
-rw------- 1 ldap ldap 624 Feb 3 13:28 olcDatabase={0}config.ldif
-rw------- 1 ldap ldap 508 Feb 3 13:36 olcDatabase={-1}frontend.ldif
-rw------- 1 ldap ldap 603 Feb 3 13:29 olcDatabase={1}monitor.ldif
drwxr-x— 2 ldap ldap 4096 Feb 3 16:32 olcDatabase={2}hdb
-rw------- 1 ldap ldap 1251 Feb 3 13:53 olcDatabase={2}hdb.ldif
*—/

4-3.使用ldif文件,设置OpenLDAP的管理员密码
ldapadd -Y EXTERNAL -H ldapi:/// -f rootpw.ldif

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}XSUcpSOL+nE1vTp2r9en29U3zBfSbi0M   ###刚刚生成的加密后密码
4-4.导入基本的schema配置

Schema控制着条目拥有哪些对象类和属性
使用ldapadd命令,执行下面的ldif文件,设置管理员密码

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
4-5. 配置OpenLDAP的根域及其管理域

使用ldapmodify命令,创建根域及管理域

ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=boybo,dc=cn" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=boybo,dc=cn

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=boybo,dc=cn

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}XSUcpSOL+nE1vTp2r9en29U3zBfSbi0M

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=boybo,dc=cn" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=boybo,dc=cn" write by * read
4-6. 创建admin的组织角色,用以管理整个OpenLDAP

导入admin组织的配置

ldapadd -x -D cn=admin,dc=boybo,dc=cn -W -f admin.ldif

# replace to your own domain name for "dc=***,dc=***" section
dn: dc=boybo,dc=cn
objectClass: top
objectClass: dcObject
objectclass: organization
o: LinLong company
dc: boybo

dn: cn=admin,dc=boybo,dc=cn
objectClass: organizationalRole
cn: admin
description: administrator
5.创建三个OU,分别是Group和People以及People下的Shenyang

在上述基础上,创建一个 boybo company的组织,People 和 Group 两个组织单元

ldapadd -x -D cn=admin,dc=boybo,dc=cn -W -f add_ou_Group_People.ldif

dn: ou=People,dc=boybo,dc=cn
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=boybo,dc=cn
objectClass: organizationalUnit
ou: Groupass: organizationalUnit
ou: Group

dn: ou=Shenyang,ou=People,dc=boybo,dc=cn
objectClass: organizationalUnit
ou: Shenyang
6.设定日志级别、日志轮滚
6-1. 设定日志级别
ldapmodify -Y EXTERNAL -H ldapi:/// -W -f change_log_level.ldif
grep "olcLogLevel" /etc/openldap/slapd.d/cn\=config.ldif

dn: cn=config
changetype: modify
add: olcLogLevel
olcLogLevel: -1
6-2. 设定日志轮滚
echo "local4.*                                                /var/log/slapd.log" >> /etc/rsyslog.conf
systemctl restart rsyslog
systemctl status rsyslog
6-3. 清除当前日志
ldapmodify -Y EXTERNAL -H ldapi:/// -W -f clean_log_level.ldif

dn: cn=config
changetype: modify
delete: olcLogLevel
olcLogLevel: -1   ###根据查询后的level清除日志级别
7.取消匿名登录
ldapmodify -Y EXTERNAL -H ldapi:/// -W -f no_anonymoun.ldif

dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon

dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
8.测试 创建一个用户并查询是否添加成功
8-1. 创建用户
ldapadd -x -D cn=admin,dc=boybo,dc=cn -W -f superman.ldif

### 查询用户
ldapsearch -LLL -W -x -H ldapi:/// -D "cn=admin,dc=boybo,dc=cn" -b "dc=boybo,dc=cn" "(uid=superman)"

dn: uid=superman,ou=Shenyang,ou=People,dc=boybo,dc=cn
uid: superman
cn: superman
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$6$EJd1EaFj$7s3DPnTNxAuBumdWhl8vFyOg5pY5FcqgWoY3rbZRH4g0j34RcOfWIoQkJlkoSSh8ytRdqwK8.JhAp1aeSX03T.
shadowLastChange: 19019
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1011
gidNumber: 1006
homeDirectory: /home/superman
mail: 123@163.com
departmentNumber: openvpn
telephonenumber: 11012345678
displayName: 超人
sn: 超人
展春秋
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenLDAP 介绍及安装部署实战
cc20100608的专栏
04-25 2640
ldap 介绍测试环境安装 LDAP 服务端设置 LDAP 的 root 密码配置 LDAP 服务端创建 LDAP 证书设置 LDAP 数据库创建 LDAP 用户添加防火墙规则开启 LDAP 日志配置 LDAP 客户端验证 LDAP 登录附录使用 Docker 部署 OpenLDAPOpenLDAP 是由 OpenLDAP 项目开发的轻量级目录访问协议的开源实现。LDAP 是一种互联网协议,电子邮件和其他程序用于从服务器查找联系人信息。它在 OpenLDAP 公共许可证下发布;
OpenLDAP 部署实践(六)
展春秋的博客
02-05 291
OpenLDAP接入第三方软件或系统 角色 主机名 操作系统 IP地址 备注 ldap-1 ldap1 CentOS7 192.168.3.11 VIP 192.168.3.10 ldap-2 ldap2 CentOS7 192.168.3.12 VIP 192.168.3.10 1. 开启MemberOf功能 ldapadd -Y EXTERNAL -H ldapi:/// -f memberOf.ldif dn: cn=module,cn=config objectClass:
OpenLDAP部署
09-29
文档完整的提供了在Linux环境部署OpenLDAP的操作步骤,包括OpenSSL/Gnutls加密,双主热备高可用,数据备份/恢复,性能优化以及常见问题的处理。
openldap 开启TLS全步骤
06-05
openldap 开启TLS全步骤
Openldap部署-HA
最新发布
weixin_41558221的博客
05-25 257
创建全局只读账号【Jumpserver】节点【192.168.0.199】执行。节点【192.168.0.200】执行。配置migrate_common。注:两台节点均需要执行该操作。导入数据库schema。
Openldap开启TLS
Swordfall的博客
04-20 2348
1. 概述   为啥要用TLS?   Openldap默认使用简单验证,对slapd的所有访问都使用明文密码通过未加密通道进行。为了确保信息安全,需要对信息进行加密传输,SSL(Secure Sockets Layer)是一个可靠的解决方案。   它使用X.509证书,由可信任第三方(Certificate Authority(CA))进行数字签名的一个标准格式的数据。有效的数字签名意味着已签名...
Openldap配置TLS加密传输(完整版——手动配置)
热门推荐
杰儿__er 的博客
05-30 1万+
为啥要用TLS?Openldap默认使用简单验证,对slapd的所有访问都使用明文密码通过未加密通道进行。为了确保信息安全,需要对信息进行加密传输,SSL(Secure Sockets Layer)是一个可靠的解决方案。它使用 X.509 证书,由可信任第三方(Certificate Authority (CA))进行数字签名的一个标准格式的数据。有效的数字签名意味着已签名的数据没有被篡改。如果签...
OpenLDAP配置TLS加密传输
weixin_30764137的博客
09-13 410
原文发表于cu:2016-07-04 参考文档: 基于OpenSSL自建CA与颁发SSL证书:http://seanlook.com/2015/01/18/openssl-self-sign-ca/ OpenLDAP with TLS:http://my.oschina.net/aiguozhe/blog/151554 http://seanlook.com/2015/01/21...
OpenLDAP 部署实践(八)
展春秋的博客
02-05 926
Open LDAP结合OpenVPN 1. OpenVPN部署 1-1. 部署OpenVPN yum install -y openvpn easy-rsa systemctl restart openvpn@server.service 1-2. vpn结合ldap yum install -y openvpn-auth-ldap ll /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so vim /etc/openvpn/auth/ldap.co
LDAP (OpenLDAP)+ CentOS7.5 部署实践
06-12
本套系统旨在 ” 带领大家搭建起公司内部的一套高可用支持TLS/SSL加密的统一账号管理系统OpenLDAP” ,但同样也如实告诉大家一点:这个教程并没有特深入的讲解 OpenLDAP 的理论知识,更加深入的学习,任重而道远,让...
openLDAP for windows.7z
10-09
在Windows环境下部署OpenLDAP,可以实现跨平台的身份验证、目录服务和数据共享。 标题“openLDAP for windows.7z”表明这是一个包含了OpenLDAP在Windows平台上运行所需的所有文件的压缩包。这个压缩包可能包含了...
ldap openldap
09-21
**LDAP与OpenLDAP** LDAP(轻量级目录访问协议)是一种开放的标准,用于在互联网上存储和检索目录信息。... **OpenLDAP** OpenLDAP是实现LDAP协议的一个开源软件...在部署和使用时,确保正确配置和安全是至关重要的。
Linux UNIX OpenLDAP实战指南
10-29
通过深入学习本书,读者可以掌握如何在企业环境中高效地部署、配置和管理OpenLDAP服务。 OpenLDAP的核心功能是作为目录服务器,它提供了快速查询和存储大量结构化数据的能力。相比于传统的数据库管理系统,OpenLDAP...
openldap介绍以及使用
罗伯特是疯子丶
05-22 4977
openldap的介绍、部署、及使用详情
openldap学习笔记(使用openldap-2.3.32)(详细)
ponymwt的专栏
12-12 842
本文系作者原创,转载请保留出处:http://marion.cublog.cn 其中理解可能也有不当之处,欢迎各位指正。 [color=Blue][size=3]第一部分:openldap介绍[/size][/color] 一、Directory Services(目录服务)能做什么?     我们知道,当局域网的规模变的越来越大时,为了方便主机管理,我们使用DHCP来
配置 OpenLDAP 使用 SSL/TLS 加密数据通信
long12310225的专栏
08-30 2971
OpenLDAP 和 OpenSSL 简介 OpenLDAP 是最常用的目录服务之一,它是一个由开源社区及志愿者开发和管理的一个开源项目,提供了目录服务的所有功能,包括目录搜索、身份认证、安全通道、过滤器等等。大多数的 Linux 发行版里面都带有 OpenLDAP 的安装包。OpenLDAP 服务默认使用非加密的 TCP/IP 协议来接收服务的请求,并将查询结果传回到客户端。由于大多数目录
小白级CentOS下yum方式安装OpenLDAPSSL)及phpLDAPadmin部署教程
bossfriday - 个人博客
08-29 2596
CentOS下yum方式安装OpenLDAP及phpLDAPadmin小白保姆级安装教程。
php openldap支持ssl,openldap (2) 配置SSL/TLS加密通信!
weixin_29967445的博客
03-22 349
知乎连接:https://zhuanlan.zhihu.com/p/256918641,ldap服务器自制签名&证书ldap服务器安装ldap:yum install -y openldap openldap-servers openldap-clients migrationtools openssl#cd /etc/openldap/certs/# openssl genrsa -ou...
openldap部署
08-06
OpenLDAP部署可以按照以下步骤进行: 1. 在目标主机上安装OpenLDAP组件: 使用命令"yum install -y openldap openldap-clients openldap-servers compat-openldap openldap-devel"来安装OpenLDAP组件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值