RH423-6 LDAP开启ssl/tls认证

最新推荐文章于 2024-01-09 18:24:50 发布
最新推荐文章于 2024-01-09 18:24:50 发布
阅读量567 收藏
点赞数
文章标签: ldap 数据库 网络
原文链接:https://yq.aliyun.com/articles/461472
版权

 LDAP启用SSL/TLS

一、利用redhat-idm-console控制台生成ssl证书请求文件

[root@station2 ~]#redhat-idm-console

1、选择Manager Certificates后点击Request,生存证书请求文件


2、选择Request Certificaate manually后在Requestor information输入CA中心要求相关信息


#红色部分为CA中心定义的必须匹配的信息,其他为ldap服务器自身信息

 

3、在弹出对话框中输入Token Passwd(该密码为证书保护密码)的密码redhat,输入密码后next,选择“save to file


#save to file文件即位证书请求文件dirsrv.crt(文件名自己定义)

 

4、将证书请求文件dirsrv.csr发送给CA中心,并由CA中心生成证书

[root@station2 ~]# scp dirsrv.csr 192.168.32.31:/root/.

root@192.168.32.31's password:

dirsrv.csr                            100%  684     0.7KB/s   00:00

 

[root@server1 ~]# openssl ca -in dirsrv.csr -out dirsrv.crt

Using configuration from /etc/pki/tls/openssl.cnf

Enter pass phrase for /etc/pki/CA/private/my-ca.key:

Check that the request matches the signature

Signature ok

Certificate Details:

        Serial Number: 7 (0x7)

        Validity

            Not Before: Apr 13 04:08:15 2011 GMT

            Not After : Apr 12 04:08:15 2012 GMT

        Subject:

            countryName               = CN

            stateOrProvinceName       = Beijing

            organizationName          = kvm,Inc.

            organizationalUnitName    = example.com

            commonName                = station2.example.com

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                F4:7A:1D:90:90:F2:AD:AF:F1:97:44:1B:23:C7:39:D0:B3:82:F5:D9

            X509v3 Authority Key Identifier:

                keyid:82:06:F6:4D:45:71:D8:0C:EC:14:DD:44:2C:CB:78:24:5E:9D:D0:C5

 

Certificate is to be certified until Apr 12 04:08:15 2012 GMT (365 days)

Sign the certificate? [y/n]:y

 

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

#CA中心生成证书

 

[root@server1 ~]# scp dirsrv.crt 192.168.32.32:/root/.

root@192.168.32.32's password:

dirsrv.crt                              100% 3765     3.7KB/s   00:00   

[root@server1 ~]# scp /etc/pki/CA/my-ca.crt dirsrv.crt 192.168.32.32:/root/.      

root@192.168.32.32's password:

my-ca.crt                              100% 1533     1.5KB/s   00:00   

#将证书和CA公钥发送给ldap服务器

 

二、ldap服务器利用redhat-idm-console控制台导入公钥和ca中心公钥,并开启ssl/tls认证

1、导入公钥:选择install,在in this local file对话框中输入ldap服务器公钥


#CA中心公钥导入同上

 

2、开启ssl/tls认证


 

3、编辑证书保护密码存放文件,并重启ldap服务器

    [root@station2 ~]# vi /etc/dirsrv/slapd-station2/pin.txt

Internal (Software) Token:redhat

#redhat为证书保护密码

 

[root@station2 ~]# service dirsrv restart

Shutting down dirsrv:

station2...                                            [确定]

Starting dirsrv:

station2...                                            [确定]

  #如果证书生成过程中有任何错误,均不能启动dirsrv服务。

 

[root@station2 ~]# netstat -tunpl|grep 636

tcp        0      0 :::636            :::*        LISTEN   10753/ns-slapd 

  #636端口开启表示ldap已经开启ssl/tls认证

    

三、客户端开启ssl/tls认证

[root@station2 ~]# vi /etc/openldap/ldap.conf

TLS_CACERT /etc/pki/tls/certs/my-ca.crt

[root@station2 ~]# ldapsearch -x "uid=zhangsan123" -ZZ -LLL

dn: uid=zhangsan123,ou=People,dc=station2,dc=example,dc=com

cn: zhangsam 123

sn: zhang

givenName: Emanuel

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

ou: Product Testing

ou: People

l: Santa Clara

uid: zhangsan123

telephoneNumber: +1 408 555 0933

facsimileTelephoneNumber: +1 408 555 9752

roomNumber: 3906

manager: uid=jwalker, ou=People, dc=station2,dc=example,dc=com

userPassword:: e1NTSEF9ZGcvQWpjUmhyOHAyd05tNU5Kbmo5bTFwMkJoN1VqcWltSHI1TXc9PQ=

 =

#如果密码指定ca中心公钥,将无法利用-ZZ查询。客户端在从ldap服务器中获取数据时,会提示下载并导入ldap服务器的公钥。


本文转自netsword 51CTO博客,原文链接:http://blog.51cto.com/netsword/543773


weixin_33724570
关注
ldap服务器与客户端配置TLS SSL认证,以及phpldapadmin配置https认证
weixin_45103766的博客
03-11 2867
ldap服务器与客户端配置TLS SSL认证 ldap监听389/tcp端口 ldaps监听636/tcp端口 创建CA证书 yum -y install openssl cd /etc/pki/CA ls private/ openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650 -subj “/C=CN/S...
如何在RHEL6上配置PAM LDAP认证(How to setup LDAP Authentication for PAM on RHEL6 x86_64)
lukeyang2000的专栏
12-27 4288
PAM-LDAP 身份验证的原理 身份验证本身是由 需要身份验证服务的服务(例如:ssh,su,ftp等等)根据/etc/pam.d/目录下对应的配置信息选择相应的PAM模块逐一进行的。指定的认证模块从身份验证候选机制中获取用户名和用户的credential进行认证(用户的从credential可以是提示用户输入,也可以是上一个认证模块传过来)。pam-ldap.so就是使用LDAP进行认证
LDAP开启TLS
老实人的博客
01-09 7202
LDAP 开启 TLS 服务端 自定义CA签名证书 创建根密钥 openssl genrsa -out laoshirenCA.key 2048 创建自签名根证书 openssl req -x509 -new -nodes -key laoshirenCA.key -sha256 -days 1024 -out laoshirenCA.pem 输出: You are about to ...
Openldap开启TLS
Swordfall的博客
04-20 2482
1. 概述   为啥要用TLS?   Openldap默认使用简单验证,对slapd的所有访问都使用明文密码通过未加密通道进行。为了确保信息安全,需要对信息进行加密传输,SSL(Secure Sockets Layer)是一个可靠的解决方案。   它使用X.509证书,由可信任第三方(Certificate Authority(CA))进行数字签名的一个标准格式的数据。有效的数字签名意味着已签名...
LADP 启用SSL开启636端口,实现第三方集成
Vic的博客
12-10 6247
如果AD需要与第三方系统集成,就需要用到两个端口,一个是389,一个是636,前者是普通连接,后者是SSL,不同的连接能做的操作是不同的 需要可以用如下的工具进行测试远程连接,工具可以网上搜了下载 具体如何启用可以参考这篇文章 ...
LDAP集成SSL/TLS
tangshiweibbs的专栏
05-02 5953
目录: 方案1:自签名证书   1.Server制作自签名证书  2.修改目录权限及所有者   3.修改配置文件,添加证书路径   4.重新生成配置文件 并启动服务   5.客户端配置及测试 方案2:CA中心签名    CA中心简介    一、建立Ca中心    二、客户机公钥签名      创建证书的另一种方法    三、将签名证书和CA证书导入ldap ser
RH Email Server-开源
05-01
这是一个包装在框中的电子邮件服务器。 对每个imap,pop3,smtp和SSL / TLS版本使用ldap身份验证。 包括Web用户界面,Web管理,Web过滤器。 通过运行一个脚本,在20分钟内将其安装在RedHat之上。
wazuh官方安装指南(中文译版本)
weixin_30443895的博客
02-18 2728
安装Wazuh服务器 Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单。 通常在Wazuh服务器上安装两个组件:管理器和API。此外,对于分布式体系结构(Wazuh服务器将数据发送到远程Elastic Stack集群),需要安装Filebeat。 安装Wazuh服务器...
TCP/IP PORT NUMBERS 2890后的端口(继续一)
热门推荐
zly22169846的专栏
10-29 6万+
 #      Justine Higgins cspclmulti      2890/tcp   CSPCLMULTIcspclmulti      2890/udp   CSPCLMULTI#      Yoneda Terumasa cinegrfx-elmd   2891/tcp   CINEGRFX-ELMD License Managercinegrfx-elmd   2891/ud
firewall防火墙(一)
最新发布
hey1616的博客
01-09 1285
Linux防火墙基础、firewall-cmd命令、服务管理、端口管理、两种配置模式、firewalld防火墙应用案例
openldap tls 认证和细节
weixin_33881140的博客
03-04 350
1,ldap server 192.168.98.129 client 192.168.98.128客户端加入到ldap 域,使用ldap账户登录,见 《ldap客户端加入域和ssl加密查询》2,配置CA 认证中心129上首先清理掉默认的CA目录,然后重新生成[root@localhostmisc]# cd /etc/pki/[root@localhostp...
java ldap tls_ldaptls 双向认证要我命
weixin_36256978的博客
02-23 360
客户端配置ca和自己的证书私钥 java 配置truststore和密码,并修改java启动参数root@saltjenkins:~# grep -i keystore /etc/default/jenkinsJAVA_ARGS="-Djava.awt.headless=true -Djavax.net.ssl.trustStorePassword=changeit -Djavax.net.ss...
JAVA通过LDAP+SSL证书)实现用户和组织(部门)增删改查(AD域服务的安装)
Asachen的博客
06-29 955
本文只说具体操作AD服务的搭建(Windows Server 2016) AD服务的搭建(Windows Server 2016) 1、 2、 3、 4、 5、 6、 7、 8、 9、 10、 11、 12、 13、 14、 15、 16、 17、 18、 19、 20、 到这里AD服务已经安装完毕! ...
LDAP+AD域+SSL连接 总结版
weixin_49245941的博客
10-09 3487
LDAP(轻型目录访问协议) 通过IP协议提供访问控制和维护分布式信息的目录信息 是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。 1、LDAP的结构用树来表示,而不是用表格。可以使用JDBC方式或者JNDI方式操作。 2、LDAP可以很快地得到查询结果,不过在写方面,就慢得多。 3、LDAP提供了静态数据的快速查询方式。 4、Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具。 5、LDAP是一种开放Internet标准,LD
在debian上openLDAP启用SSL连接
Jackwolfskin888的博客
10-08 1120
原文链接 参考了Ubuntu上的操作 https://www.digitalocean.com/community/tutorials/how-to-encrypt-openldap-connections-using-starttls Introduction OpenLDAP provides an LDAP directory service that is flexible and we...
使用 OpenLDAP 集中管理用户帐号
snail8384的专栏
12-12 665
使用 OpenLDAP 集中管理用户帐号Red Hat 上的 OpenLDAP 提供了安全、可靠的帐号管理级别: 中级Mike OReilly (mikeor@us.ibm.com), 系统支持工程师, IBM2006 年 6 月 26 日使用轻量级目录访问协议(LDAP)构建集中的身份验证系统可以减少管理成本,增强安全性,避免数据复制的问题,并提高数据的一致性。随着 Linux®的
openldap安装以及存取读取证书操作(PHP)
Sagely's blog
04-28 3326
一,openldap在linux下的安装1,编译安装Berkeley DB  tar -zxvf db-4.2.52.tar.gz  cd /usr/local/db-4.2.52.NC/build_unix  ../dist/configure  make  make install 2.编译安装openldap  cd openldap-2.1.29  env CPPFLAGS="-I/usr
OpenLDAP配置TLS加密传输
weixin_30764137的博客
09-13 433
原文发表于cu:2016-07-04 参考文档: 基于OpenSSL自建CA与颁发SSL证书:http://seanlook.com/2015/01/18/openssl-self-sign-ca/ OpenLDAP with TLS:http://my.oschina.net/aiguozhe/blog/151554 http://seanlook.com/2015/01/21...
openldap tls认证搭建
08-16 882
基础环境: centos7.6 openldap2.4.44 1、安装包 yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools 2、拷贝配置文件 cp /usr/share/openldap...
深入理解SSL/TLS:原理、实践与设计模式
此书针对初学者、开发者和研究者,全面介绍了SSL/TLS在互联网安全领域的核心作用,尤其是在保障Web交易安全方面的广泛应用,如电子商务、FTP、RMI/CORBA/IIOP、SMTP、Telnet和LDAP等。 该书强调了理解SSL/TLS工作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值