Linux上通过SSL/TLS和start tls连接到LDAP服务器

已于 2023-11-22 18:15:00 修改
阅读量836 收藏 1
点赞数 1
分类专栏: SSL\TLS 文章标签: 服务器 ssl 运维
于 2023-11-20 19:33:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46711630/article/details/134515626
版权

一,大致流程。

        1.首先在Linux上搭建一个LDAP服务器 2.在LDAP服务器上安装CA证书,服务器证书,因为SSL/TLS,start tls都属于机密通信,需要客户端和服务器都存在一个相同的证书认证双方的身份。3.安装phpldapadmin工具,为我们提供一个可视化操作的LDAP服务器界面,让我们能够方便去管理用户,组织。4.通过TLS和start tls和连接到LDAP服务器。

        2.提交了解,新手必看。首先你在执行下述安装LDAP搭建之前,创建一个新的ubuntu的作为你的服务器的载体。其次,你新建的这个ubuntu的IP地址就是你LDAP服务器的IP地址,默认服务器管理员账户名为admin。鬼知道我之前找IP地址和管理员账户在配置文件里面扒拉了多少时间。

二.搭建LDAP服务器

三.搭配CA证书,服务器证书

        二,三两个步骤我就不写了,这两个文章在这位大佬里面的博客写得非常详细,直接粘贴复制这位大佬的命令就行了。然后我会解决大佬文章中出现的一个错误,应该是版本更迭原因。

        大佬的文章做到"配置OpenLDAP以使用证书和密钥"这一步时,他在保存addcerts.ldif后直接执行了写入配置文件这条命令。

经过我多次测试,如果在执行这条命令前不执行重启Openldap服务:sudo service slapd force-reload这条命令的话,会报出ldap_modify: Other (e.g., implementation specific) error (80)这样的错误,当你保存addcerts.ldif这个文件之后,正确的执行命令应当是。

sudo service slapd force-reload

sudo ldapmodify -H ldapi:// -Y EXTERNAL -f addcerts.ldif

sudo service slapd force-reload

 修改配置文件,开启SSL\TLS和Start TLS认证

sudo vim /etc/default/slapd

SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///" //手动开始服务器支持TLS和SSL,前提是你的证书和私钥全部安装完毕;ldapi表示开启Start TLS认证,ldaps表示开启SSL\TLS认证

sudo vim /etc/ldap/ldap.conf

在文件中添加下面两行数据

TLS_REQCERT try //表示强制开启client验证服务器的证书,如果改为allow,可以通过IP连接到服务器

TLS_CACERT /etc/ldap/ca_certs.pem //指定证书的位置

四,安装phpldapadmin工具(不需要可视化界面的可以直接跳到第五步,不影响连接到LDAP服务器)

        搭载phpldapadmin,phpldapdamin,这是一个可视化的LDAP服务器操作页面,能够更好的管理LDAP服务器。

1.安装phpldapadmin工具包

sudo apt-get install -y phpldapadmin

2.安装成功之后检查对应的配置文件,红色为修改部分

sudo vim /etc/phpldapadmin/config.phphp    //打开配置文件

$servers->setValue('server'. 'host', '127.0.0.1') //第三个参数修改为本地环回地址,一般都是这个

$servers->setValue('server'. 'base', array('dc=example,dc=com')) //填写域名,我的是example.com

$servers->setValue('login', 'bind_id', 'cn=admin,dc=example,dc=com') //管理员名+域名 上诉步骤均没有指定管理员名,服务器的默认管理员名均为admin

保存退出

3. 配置文件修改之后配置防火漆:防火墙放行Apache2

Ubuntu命令行执行以下3条命令

ufw allow "Apache"

ufw allow "Apache Full"

ufw allow "Apache Secure"

 4 重启服务器

sudo /etc/init.d/apache2 restart

5.将http:///phpldapadmin 替换为LDAP服务器的IP地址,将这个放到任意一个游览器中运行,点击左侧登录会出现以下画面进行登录

 6.3.6 登录成功之后进入以下画面

 五,连接到AD服务器

 1.验证是否配置成功Strat TLS认证

        这里的ldap://ldap.example.com 必须使用域名,不可以使用IP地址,因为client验证服务器的证书使用的是域名而不是IP地址,如果形式变为ldap://192.168.45.xxx 的形式,就不能连接到服务器。除非你将TLS_REQCERT try改为TLS_REQCERT allow(表示不强制开启client验证服务器的证书)。

ldapwhoami -H ldap://ldap.example.com -x -ZZ   //-ZZ表示强制使用Strat TLS

如果成功,那么你将会看见

anonymous

如果失败,请检查以下

1. /etc/ldap/ldap.conf中指定的证书路径是否正确TLS_CACERT /etc/ldap/ca_certs.pem

2.证书内容是否在复制过程中,多了空格,换行,建议直接复制文件

3.服务器的/etc/default/slapd文件中的SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"字段是否有ldapi:///内容,如果没有则添加,修改完配置文件之后,重启服务

sudo service slapd force-reload 。

4.如果以上3步全部正确,依旧无法连上,尝试在client的/etc/hosts加上反向域名解析:

sudo vim /etc/hosts

#添加方向域名解析

127.0.1.1 ldap.example.com ldap

127.0.0.1 localhost

192.168.45.147 ldap.example.com

2.远程客户端通过SSL\TLS连接到服务器

 ldapwhoami -H ldaps://ldap.example.com -x

 如果成功

 anonymous

 失败的话请查看Strat TLS中提到的错误检查,如果Strat TLS已经成功了,而你的SSL\TLS失败了,就只有/etc/default/slapd文件中的SLAPD_SERVICES字段没有添加ldaps:///

嵌入式大王
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux下的ldap配置详述
02-03
Linux下的LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,用于存储和检索分布式目录服务中的数据。它在企业环境中广泛应用于用户身份验证、权限管理和资源共享。本篇文章将详细解析LDAP的...
Linux安装ldap服务端
最新发布
0.0雨的博客
05-16 1040
Linux安装ldap服务端
二、LDAP服务端搭建及客户端测试【完】
Jian Sun_的博客
11-06 4950
一.OpenLDAP服务器的搭建(Centos7) 1.安装OpenLDAP的相关软件包 # yum -y install openldap openldap-servers openldap-clients openldap-devel compat-openldap 2.安装完后,可以看到自动创建了ldap用户 # tail -n 1 /etc/passwd 3.OpenLDAP的相关配置文件信息 /etc/openldap/slapd.conf:OpenLDAP...
Ubuntu下LDAP 部署文档_u_cfd4d32eibt,软件测试开发手册
2401_84267585的博客
04-18 362
ldapmodrdn 命令用于对 OpenLDAP 目录树中 RDN 条目的修改,可以从标准的条目信息输入或者使用 -f 指定 LDIF 文件的格式输入。
LDAP Error and Result Codes
five00的专栏
01-18 1086
LDAP Error and Result Codes (Updates are no longer performed on this page. See wikildap)  Hex Decimal Constant: Description
Openldap开启TLS
Swordfall的博客
04-20 2347
1. 概述   为啥要用TLS?   Openldap默认使用简单验证,对slapd的所有访问都使用明文密码通过未加密通道进行。为了确保信息安全,需要对信息进行加密传输,SSL(Secure Sockets Layer)是一个可靠的解决方案。   它使用X.509证书,由可信任第三方(Certificate Authority(CA))进行数字签名的一个标准格式的数据。有效的数字签名意味着已签名...
LDAP error Code 及解决方法
热门推荐
TechChan的专栏
04-01 9万+
   1.  error code 53===========================================================================问题:创建新用户时出现数据后端异常在 WebSphere Portal Express 中,您可以设置密码的最短和最长长度。如果设置的密码长度与 LDAP 服务器的策略不相同,则在创建用
[OpenBMC] LDAP 设定(三) - LDAPS(LDAP over TLS)
yeiris的博客
01-29 4702
openbmc ldap设定和验证,能从以下几个方向来看 nss-pam-ldapd[OpenBMC] LDAP 设定(一) - nss-pam-ldapd LDAP server 架设 Redfish/Web设定[OpenBMC] LDAP 设定(二) - openldap 伺服架设与BMC的设定 LDAP over TLS 终于到了最后一个部分 LDAPS, 这部分我们会依序介绍 TLS的原理(这边会补充密码学基础) 非对称式加密 vs 对称式加密 数位签章 数位凭证 TLS握.
LdapAdmin_yanwang.rar
05-27
1. **安装LDAP服务器软件**:在大多数Linux发行版中,这可以通过包管理器完成,例如在Debian/Ubuntu上使用`apt-get install slapd`,在CentOS/RHEL上使用`yum install openldap-servers`。 2. **配置LDAP数据库**:...
ldap.zip_ldap
09-21
- 使用SSL/TLS加密连接(通过设置`ldaps://`前缀或`ldap_start_tls()`)以提高安全性。 - 限制搜索范围和属性以优化性能,避免检索大量不必要的数据。 9. **目录结构** LDAP目录树状结构,每个条目都有一个唯一...
LDAPlinux上的部署与应用
01-21
1. **选择服务器软件**:在Linux上,常见的LDAP服务器有OpenLDAP和389 Directory Server。这里我们以OpenLDAP为例,其开源且稳定,广泛应用于各种Linux发行版。 2. **安装步骤**: - 更新系统包:`sudo apt-get ...
linux下搭建svn服务器(apache).pdf
12-15
Linux系统中,搭建SVN...总之,Linux下使用Apache搭建SVN服务器涉及到多个步骤,包括安装依赖、配置Apache和Subversion,以及设置用户访问控制。完成这些步骤后,团队就可以开始利用SVN进行版本控制和协同工作了。
SSL vs TLS vs STARTTLS
xtjie的专栏
08-14 1万+
翻译者:易建科技基础架构中心研发经理张冬卯 SSL vs TLS vs STARTTLS SSL, TLS和STARTTLS都是在计算机安全里面, 都很容易让人混淆的词. SSLTLS都提供了加密2台计算机(如服务器和客户端)之间通信的办法. TLSSSL的继任者, 所以除非提到具体协议的版本,TLSSSL这2个词是可以混用的, 在大多数情况下的意思相近. STARTTLS是一种把已...
LDAP集成SSL/TLS
tangshiweibbs的专栏
05-02 5842
目录: 方案1:自签名证书   1.Server制作自签名证书  2.修改目录权限及所有者   3.修改配置文件,添加证书路径   4.重新生成配置文件 并启动服务   5.客户端配置及测试 方案2:CA中心签名    CA中心简介    一、建立Ca中心    二、客户机公钥签名      创建证书的另一种方法    三、将签名证书和CA证书导入ldap ser
LDAP:java操作AD域 解决常见问题,SSL连接
weixin_49245941的博客
10-09 1533
LDAP(轻型目录访问协议) 通过IP协议提供访问控制和维护分布式信息的目录信息 是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。 1、LDAP的结构用树来表示,而不是用表格。可以使用JDBC方式或者JNDI方式操作。 2、LDAP可以很快地得到查询结果,不过在写方面,就慢得多。 3、LDAP提供了静态数据的快速查询方式。 4、Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具。 5、LDAP是一种开放Internet标准,LD
LDAP部署、java连接SSL协议,以及遇到的证书问题
代码研究院
05-18 4332
写在前面的话: 部署openLDAP 2.4.44 (centOS 7.X 直接yum 安装的版本),之前在网上查找过教程,大多数openLDAP 2.3.X 初始配置已经有了很大变化。说直接改/etc/openldap/slapd.conf 没有就新建,或者修改/etc/openldap/slapd.d/下的文件。最后导致slapd服务总是起不来。所以写下这个教程,避坑。 我的环境 CentOS 7 关闭防火墙(开放指定的端口也是可以的,这里也很容易出问题) yum 服务安装 yum ins.
# ldaps 与 ldap over TLS 的区别
超级无敌棒棒糖
06-17 3683
ldaps 与 ldap over TLS 的区别 文章目录ldaps 与 ldap over TLS 的区别1 LDAP over SSL(即ldaps)2 LDAP over TLS(即ldap + TLS)3 连接方式对比:3.1 启动服务器debug模式3.2 ldaps方式连接3.3 LDAP over TLS方式连接(STARTTLS)4 总结 参考转载:https://blog.csdn.net/seulzz/article/details/108345871 1 LDAP over SS
LDAP开启TLS
老实人的博客
01-09 7106
LDAP 开启 TLS 服务端 自定义CA签名证书 创建根密钥 openssl genrsa -out laoshirenCA.key 2048 创建自签名根证书 openssl req -x509 -new -nodes -key laoshirenCA.key -sha256 -days 1024 -out laoshirenCA.pem 输出: You are about to ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值