LDAP部署、java连接、SSL协议,以及遇到的证书问题

最新推荐文章于 2024-07-05 11:26:56 发布
最新推荐文章于 2024-07-05 11:26:56 发布
阅读量4.3k 收藏 6
点赞数 1
分类专栏: 经验 文章标签: LDAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkf9044/article/details/106199370
版权

写在前面的话:
部署openLDAP 2.4.44 (centOS 7.X 直接yum 安装的版本),之前在网上查找过教程,大多数openLDAP 2.3.X 初始配置已经有了很大变化。说直接改/etc/openldap/slapd.conf 没有就新建,或者修改/etc/openldap/slapd.d/下的文件。最后导致slapd服务总是起不来。所以写下这个教程,避坑。

我的环境

服务安装

yum install -y openldap openldap-servers openldap-clients openldap-devel

生成OpenLDAP管理密码

[root@localhost ~]# slappasswd
New password: //此处输入密码
Re-enter new password: //再次密码
{SSHA}CrdqT5EAh8H2y2SorEUbuxP3R5eOggjb

{SSHA}CrdqT5EAh8H2y2SorEUbuxP3R5eOggjb复制出来,后面用得到

配置OpenLDAP

OpenLDAP 2.3之后的版本取消了/etc/openldap/slapd.conf的配置方式,使用ldif文件动态配置

vi /usr/share/openldap-servers/slapd.ldif

可以参考我的修改

[root@localhost ~]# cat /usr/share/openldap-servers/slapd.ldif
#
# See slapd-config(5) for details on configuration options.
# This file should NOT be world readable.
#

dn: cn=config
objectClass: olcGlobal
cn: config
olcArgsFile: /var/run/openldap/slapd.args
olcPidFile: /var/run/openldap/slapd.pid
#
# TLS settings
#  这是关于ssl协议的证书配置,我是用是openSSL生成的自签证书

olcTLSCACertificatePath: /etc/openldap/certs
olcTLSCertificateFile: /etc/openldap/certs/ldap.crt
olcTLSCertificateKeyFile: /etc/openldap/certs/ldap.key
#
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#
#olcReferral: ldap://root.openldap.org
#
# Sample security restrictions
#       Require integrity protection (prevent hijacking)
#       Require 112-bit (3DES or better) encryption for updates
#       Require 64-bit encryption for simple bind
#
#olcSecurity: ssf=1 update_ssf=112 simple_bind=64


#
# Load dynamic backend modules:
# - modulepath is architecture dependent value (32/64-bit system)
# - back_sql.la backend requires openldap-servers-sql package
# - dyngroup.la and dynlist.la cannot be used at the same time
#

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
#olcModulepath: /usr/lib/openldap
olcModulepath:  /usr/lib64/openldap
olcModuleload: accesslog.la
olcModuleload: auditlog.la
olcModuleload: back_dnssrv.la
olcModuleload: back_ldap.la
olcModuleload: back_mdb.la
olcModuleload: back_meta.la
olcModuleload: back_null.la
olcModuleload: back_passwd.la
olcModuleload: back_relay.la
olcModuleload: back_shell.la
olcModuleload: back_sock.la
olcModuleload: collect.la
olcModuleload: constraint.la
olcModuleload: dds.la
olcModuleload: deref.la
#olcModuleload: dyngroup.la
olcModuleload: dynlist.la
olcModuleload: memberof.la
olcModuleload: pcache.la
olcModuleload: ppolicy.la
olcModuleload: refint.la
olcModuleload: retcode.la
olcModuleload: rwm.la
olcModuleload: seqmod.la
olcModuleload: smbk5pwd.la
olcModuleload: sssvlv.la
olcModuleload: syncprov.la
olcModuleload: translucent.la
olcModuleload: unique.la
olcModuleload: valsort.la


#
# Schema settings
#

dn: cn=schema,cn=config
objectClass: olcSchemaConfig
cn: schema

include: file:///etc/openldap/schema/core.ldif

#
# Frontend settings
#

dn: olcDatabase=frontend,cn=config
objectClass: olcDatabaseConfig
objectClass: olcFrontendConfig
olcDatabase: frontend
#
# Sample global access control policy:
#       Root DSE: allow anyone to read it
#       Subschema (sub)entry DSE: allow anyone to read it
#       Other DSEs:
#               Allow self write access
#               Allow authenticated users read access
#               Allow anonymous users to authenticate
#
#olcAccess: to dn.base="" by * read
#olcAccess: to dn.base="cn=Subschema" by * read
#olcAccess: to *
#       by self write
#       by users read
#       by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
#

#
# Configuration database
#

dn: olcDatabase=config,cn=config
objectClass: olcDatabaseConfig
olcDatabase: config
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,c
 n=auth" manage by * none

#
# Server status monitoring
#

dn: olcDatabase=monitor,cn=config
objectClass: olcDatabaseConfig
olcDatabase: monitor
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,c
 n=auth" read by dn.base="cn=root,dc=这里改成自己的,dc=com" read by * none

#
# Backend database definitions
#

dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: hdb
olcSuffix: dc=这里改成自己的,dc=com
olcRootDN: cn=root,dc=这里改成自己的,dc=com
olcRootPW: {SSHA}PU4CNCews363SCGpb4hUYmrkHyMnUCrX  密码是前面生成的 
olcDbDirectory: /var/lib/ldap
olcDbIndex: objectClass eq,pres
olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
[root@localhost ~]#

导入DB_CONFIG、重新生成配置、修改目录权限并启动服务

删除配置

[root@localhost ~]# rm -rf /etc/openldap/slapd.d/*

导入配置

[root@localhost ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@localhost ~]# slapadd -n 0 -F /etc/openldap/slapd.d -l /usr/share/openldap-servers/slapd.ldif

修改目录权限

[root@localhost ~]# chown -R ldap.ldap /etc/openldap/slapd.d/*
[root@localhost ~]# chown -R ldap.ldap /var/lib/ldap/*

启动

[root@localhost ~]# systemctl start slapd

导入schema

[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

解决 报错 No Object

[root@localhost ~]# vim base.ldif
dn: dc=这里改成自己的,dc=com
o: 这里改成自己的
objectclass: dcObject
objectclass: organization


[root@localhost ~]# ldapadd -f base.ldif -x -D cn=root,dc=这里改成自己的,dc=com -W
输入密码

解决 systemctl start slapd 启动失败

  • 重新生成配置。
  • 重新生成配置仍然失败,完全卸载后重新安装。

启动ldap:// ldaps://

 slapd -h "ldap:/// ldaps:///"

修改启动端口

slapd -h "ldap://:123"

netstat -tunlp  查看

补充ldap.配置的签名

一.Server端自签名证书(ldap.key(私钥)、ldap.crt(证书、公钥))
1、首先安装openssl,已安装请忽略

yum -y install openssl

2、生成server端的私钥

cd /etc/openldap/certs/
openssl genrsa -out ldap.key 2048  //私钥

3、生成签名请求

openssl req -new -key ldap.key -out ldap.csr //生成签名请求

只有Common Name项一定要填写Sever的IP或域名,其余项可不填写。
4、生成自签名CA证书

openssl x509 -req -days 1095 -in ldap.csr -signkey ldap.key -out ldap.crt//公钥(自签名)

查看证书

openssl x509 -in ldap.crt -text -noout

JDK 版本升级到14 证书连接失败的问题

1、jdk14需要检查证书扩展属性,验证IP
2、使用openssl 生成v3证书增加服务器IP的扩展属性
2.1、增加v3证书扩展属性 需求修改openssl.cnf vi /etc/pki/tls/openssl.cnf

#部分配置  
#先搜搜看是否有  没有在文件底部新增,

[ alternate_names ]
IP.1 = 172.17.1.2
IP.2 = 172.17.1.3
DNS.1  = example1.com
DNS.2  = example2.com

#找到 v3_req
# 添加 subjectAltName = @alternate_names

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectAltName = @alternate_names

生成V3版本的证书

 openssl x509 -req   -extfile /etc/pki/tls/openssl.cnf -extensions v3_req  -in ldap.csr -out ldap.cer -signkey ldap.key  -days 3650   
 
\\ -extfile /etc/pki/tls/openssl.cnf -extensions v3_req  参数是生成 X509 V3 版本的证书的必要条件。

最后记得重启ldap 让证书生效

ps -ef | grep ldap #查询PID
kill-9  PID
slapd -h "ldap:/// ldaps:///"

JDK自带API连接LDAP

  /**
     * 连接LDAP
     * @param userName uid
     * @param passwd  
     * @param SearchName 所在的目录  例如ou=test,dc=maxcrc,dc=com
     * @return
     */
    public static DirContext connectLDAP(String userName, String passwd) {
    	
        Hashtable<String, String> env = new Hashtable<String, String>();
        logger.debug("===" + userName + "==="+passwd);

        env.put(Context.SECURITY_PRINCIPAL, userName );//用户名 全路径
        env.put(Context.SECURITY_CREDENTIALS, passwd);//密码
        env.put(Context.PROVIDER_URL, "ldap://127.0.0.1:389");//连接LDAP的URL和端口
        env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");//JNDI Context工厂类
        env.put(Context.SECURITY_AUTHENTICATION, "simple");//认证类型
      
        DirContext ctx=null;
        try {
        	ctx = new InitialLdapContext(env, null);//开始连接
        	logger.debug("===auth OK===");
        } catch (NamingException e) {
        	e.printStackTrace();
        	logger.error("===auth ERR==="+e.getMessage());
        }
        return ctx;
    }

Java连接ldaps

根据网上教程,导入后

keytool -import  -alias ldapserver -file D:\test\server.cert -keystore cacerts -storepass changeit
//具体可百度


env.put(Context.PROVIDER_URL, "ldaps://127.0.0.1:636");//导入的是jre目录下的cacerts 就可以连接

动态导入证书报证书签名错误

因为JVM启动只加载一次证书,如果不重启加载,这需要重写SSL SocketFactory

public class LdapSocketFactory extends SocketFactory {
	private static final Logger logger = RootLogger.getLog(LdapSocketFactory.class.getName());
	
	private static LdapSocketFactory instance = null;
	private SSLContext sslContext = null;
	private static String certFileName = "C:\\ldap.crt";

	public static SocketFactory getDefault() {

		try {
			instance = new LdapSocketFactory();
			instance.initFactory();
		} catch (Exception e) {
			e.printStackTrace();
			logger.debug("Returning null socket factory");
		}

		return instance;
	}

	private void initFactory() throws Exception {
		logger.debug("Initializing socket factory...");
		InputStream certStream = new FileInputStream(certFileName);
		CertificateFactory certificateFactory = CertificateFactory
				.getInstance("X.509");
		Certificate certificate = certificateFactory
				.generateCertificate(certStream);
		logger.debug("The certificate was generated. It is issued to "
				+ ((X509Certificate) certificate).getSubjectDN());
				
		KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
		keyStore.load(null, "myPassword".toCharArray()); //自定义密码
		
		new KeyStore.TrustedCertificateEntry(certificate);
		
		keyStore.setCertificateEntry("myCert", certificate);//自定义名称
		
		logger.debug("The Keystore was initialized.");
		
		TrustManagerFactory trustManagerFactory = TrustManagerFactory
				.getInstance("SunX509", "SunJSSE");
		trustManagerFactory.init(keyStore);
		logger.debug("The TrustManagerFactory was initialized.");
		
		sslContext = SSLContext.getInstance("TLS");
		sslContext.init(null, trustManagerFactory.getTrustManagers(),
				new SecureRandom());
		logger.debug("The SSLContext was initialized.");
	}

	@Override
	public Socket createSocket(String host, int port) throws IOException,
			UnknownHostException {
		// TODO Auto-generated method stub
		return sslContext.getSocketFactory().createSocket(host, port);
	}

	@Override
	public Socket createSocket(InetAddress host, int port) throws IOException {
		// TODO Auto-generated method stub
		return sslContext.getSocketFactory().createSocket(host, port);
	}

	@Override
	public Socket createSocket(String host, int port, InetAddress localHost, int localPort)
			throws IOException, UnknownHostException {
		// TODO Auto-generated method stub
		return sslContext.getSocketFactory().createSocket(host, port, localHost, localPort);
	}

	@Override
	public Socket createSocket(InetAddress address, int port, InetAddress localAddress,
			int localPort) throws IOException {
		// TODO Auto-generated method stub
		return sslContext.getSocketFactory().createSocket(address, port, localAddress, localPort);
	}

}

在connectLDAP方法中 添加

env.put("java.naming.ldap.factory.socket", LdapSocketFactory.class.getName());

如此,每次连接都会加载证书

高效编程
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
java ssl证书_Java安全教程–创建SSL连接证书的分步指南
最佳 Java 编程
06-08 691
java ssl证书 在有关应用JEE安全性的系列文章中,我们为您提供了另一个有关如何在Java EE应用程序中创建SSL连接和创建证书的详细教程。 如我们之前的文章中所述, 安全套接字层(SSL)/传输层安全性(TLS)将启用客户端和Web服务器之间的安全连接。 客户端将使用HTTPS连接来使用Web资源。 Java提供了各种基于安全性的API,可以帮助与客户端建立安全连接并以加密格式发送...
JAVA修改AD域密码_免证书
01-27
为了解决这个问题,我们可以使用JavaSSL免验证设置,使得代码能够绕过证书验证,简化流程。 以下是实现免SSL验证的关键步骤: 1. **禁用SSL验证**:在Java代码中,我们可以设置`java.security.properties`文件,...
JAVA中使用LDAP进行用户认证
08-28
JAVA中使用LDAP进行用户认证,可靠、可用、可复制
java代码通过ldaps连接AD域,实现写数据到AD域
u013930899的博客
03-15 1703
java代码通过ldaps连接AD域‘’,实现写数据到AD域。
java连接ldap实现用户查询功能
刘大猫
05-25 815
我们公司原项目是Spring或者SpringBoot项目,现在假设收购了一家公司(人家所有账户信息都保存在ldap数据库中),现在需要把它集成进来,最终实现项目支持两种方式认证:必须先创建组,然后才能创建组下用户,不然cn=ldapUser1,ou=Develop,ou=Hytera,dc=yaobili,dc=com这么写是非法的 我创建了2个账户,ldapUser1账户1密码未加密Eadmin123456,ldapUser2账户2密码加密了设置的{SSHA}J3NuHvl3O8LdPuV2QFYc2pP
Java安全教程–创建SSL连接证书的分步指南
最佳 Java 编程
05-16 709
在有关应用JEE安全性的系列文章中,我们为您提供了另一个有关如何在Java EE应用程序中创建SSL连接和创建证书的详细教程。 如我们之前的文章中所述, 安全套接字层(SSL)/传输层安全性(TLS)将启用客户端和Web服务器之间的安全连接。 客户端将使用HTTPS连接来使用Web资源。 Java提供了各种基于安全性的API,可以帮助与客户端建立安全连接并以加密格式发送/接收消息: ...
SSL handshake failed: LDAP链接失败解决方法
csgeorge2016的博客
03-13 1149
怀疑证书无效或者过期,去到应用端服务器,检查证书有效期,果然是证书过期。
【windows】windows 2012 r2证书服务安装与高级配置以及如何导出证书java通过ldapssl修改查询操作)
義十一的博客
10-12 7900
先前,先后弄windows server2008 以及现在的windows server2012 操作ad域 很大时间浪费在了操作证书上,希望大家可以通过此文档可以更快的解决ssl证书问题。有问题可随时联系我。 注意:host文件要记得修改!!!host文件要记得修改!!!host文件要记得修改!!! 本着应用隔离的原则,建议把证书服务部署在一台独立的windows server 2012 ...
Java加解密(八)数字证书
yunyun1886358的专栏
01-15 4576
数字证书(Digital Certificate),一般指公钥证书(Public Key Certificate,PKC),类似于我们生活中的身份证,用于标识网络中的用户(计算机)身份,里面记有姓名、组织,邮箱,地区,国家等个人信息,以及属于此人的公钥,还包含由认证机构(Certification Authority,CA)施加的数字签名。公钥证书也简称为证书(Certificate)。上面的描述是不是很抽象,下面我们来具体看一看一个证书包含的具体数据。下面的内容是通过Java程序从证书文件。
Linux搭建部署Ldap服务器,亲测可用
weixin_48114253的博客
05-21 1397
本文为转载,原链接:https://www.cnblogs.com/daiss314/p/13227180.html 一,服务器安装 yum install -y openldap openldap-clients openldap-servers migrationtools ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210521102557113.png 二,配置ldap服务器 2.1配置ldap的域和密码 vim /etc/openldap/slapd.
java连接AD(Microsoft Active Directory)模拟用户登录认证
最新发布
刘大猫
07-05 1194
:公司项目当前采用http协议+shiro+mysql的登录认证方式,而现在想支持ldap协议认证登录然后能够访问自己公司的项目网站。:假设我们公司有自己的门户网站,现在我们收购了一家公司,他们数据库采用ldap存储用户数据,那么为了他们账户能登陆我们公司项目所以需要集成,而不是再把他们的账户重新在mysql再创建一遍,万一人家有1W个账户呢,不累死了且也不现实啊。需要安装AD+kerberos,且ldap和kerberos安装在同一台服务器上,当前版本如下:我公司电脑室windows10的,我是Vietu
ldapbrowser,LDAP连接工具
05-29
`ldapbrowser`作为一个IBM类工具,可能意味着它具有与IBM系统或服务集成的能力,或者是IBM推荐的用于管理其LDAP部署的第三方工具。 **JavaLDAP浏览器** 由于`ldapbrowser`被提及为“类似jar包打开工具”,我们...
Java LDAP Server-开源
07-10
3. **SLAPD(Simple LDAP Daemon)**:通常,SLAPD是一个流行的开源LDAP服务器,但Java LDAP Server提供了一种用纯Java实现的替代方案,这使得部署和管理更加方便,尤其在Java主导的环境中。 4. **安全与认证**:...
JAVA上百实例源码以及开源项目
01-03
 用JAVA编写了一个小工具,用于检测当前显示器也就是显卡的显示模式,比如分辨率,色彩以及刷新频率等。 Java波浪文字制作方法及源代码 1个目标文件 摘要:Java源码,初学实例,波浪文字  Java波浪文字,一个利用...
JAVA上百实例源码以及开源项目源代码
12-11
数字证书:从文件中读取数字证书,生成文件输入流,输入文件为c:/mycert.cer,获取一个处理X.509证书证书工厂…… Java+ajax写的登录实例 1个目标文件 内容索引:Java源码,初学实例,ajax,登录 一个Java+ajax写的...
Java项目部署文档
qwerasdctds的博客
01-08 1182
Linux安装jdk、Linux安装nginx、Linux安装Redis、Linux安装mysql、Linux安装docker、Linux导入导出sql、Docker常用命令、Docker安装Nginx、Docker安装Redis、Docker安装MySQL、Docker安装postgresSQL并启用postgis扩展、Docker安装nacos
买个云服务器搭建自己的ngrok做微信公众号开发
代码研究院
01-24 5070
[TOC] 写在前面的话,2019年中旬自己开发了一个微信公众号,一直用的小米球的ngrok做内网穿透接口调试,免费的午餐终究吃不了太久。本着坚持勤俭持家的理念,让我购买付费业务是不可能的,索性自己在以前购买的云服务器搭建ngrok。nginx做端口转发 准备 一台云服务器,一个域名,我用的服务器的操作系统为CentOS7(amd64) 安装环境 安装gcc和git(用于下载ngrok源码...
解决LDAPS连接时报错 No subject alternative names present
代码研究院
07-16 3059
JDK7使用自签证书使用LDAPS完全没问题,后来升级JDK14后就无法连接,查看日志打印 No subject alternative names present,查看源码分析: 定位到:sun.security.util.HostnameChecker JDK14 需要验证扩展属性中的IP,我的证书域名时IP地址,如果是域名则会验证DNS /** * Check if the certificate allows use of the given IP address. * .
java 建立ldap连接
01-04
根据提供的引用内容,建立LDAP连接池的步骤如下: 1. 配置LDAP连接池的上下文环境: ```java Hashtable<String, String> env = new Hashtable<>(); env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); env.put(Context.PROVIDER_URL, "ldap://ldap.example.com:389"); env.put(Context.SECURITY_AUTHENTICATION, "simple"); env.put(Context.SECURITY_PRINCIPAL, "cn=admin,dc=example,dc=com"); env.put(Context.SECURITY_CREDENTIALS, "password"); ``` 2. 创建LDAP连接池对象: ```java DirContext ctx = new InitialDirContext(env); ``` 3. 配置连接池属性: ```java ctx.addToEnvironment(javax.naming.Context.PROVIDER_URL, "ldap://ldap.example.com:389"); ctx.addToEnvironment(javax.naming.Context.SECURITY_AUTHENTICATION, "simple"); ctx.addToEnvironment(javax.naming.Context.SECURITY_PRINCIPAL, "cn=admin,dc=example,dc=com"); ctx.addToEnvironment(javax.naming.Context.SECURITY_CREDENTIALS, "password"); ctx.addToEnvironment(javax.naming.Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); ctx.addToEnvironment(javax.naming.Context.SECURITY_PROTOCOL, "ssl"); ctx.addToEnvironment(javax.naming.Context.SECURITY_PROTOCOL, "tls"); ctx.addToEnvironment(javax.naming.Context.SECURITY_PROTOCOL, "ssl"); ctx.addToEnvironment(javax.naming.Context.SECURITY_PROTOCOL, "ssl"); ``` 4. 创建连接池对象: ```java DataSource ds = (DataSource) ctx.lookup("java:comp/env/jdbc/dbpooling"); ``` 请注意,以上代码仅为示例,实际配置和使用LDAP连接池可能会因环境和需求而有所不同。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值