LDAP部署、java连接、SSL协议,以及遇到的证书问题

最新推荐文章于 2024-05-25 14:11:40 发布
最新推荐文章于 2024-05-25 14:11:40 发布
阅读量4.3k 收藏 6
点赞数 1
分类专栏: 经验 文章标签: LDAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkf9044/article/details/106199370
版权

写在前面的话:
部署openLDAP 2.4.44 (centOS 7.X 直接yum 安装的版本),之前在网上查找过教程,大多数openLDAP 2.3.X 初始配置已经有了很大变化。说直接改/etc/openldap/slapd.conf 没有就新建,或者修改/etc/openldap/slapd.d/下的文件。最后导致slapd服务总是起不来。所以写下这个教程,避坑。

我的环境

服务安装

yum install -y openldap openldap-servers openldap-clients openldap-devel

生成OpenLDAP管理密码

[root@localhost ~]# slappasswd
New password: //此处输入密码
Re-enter new password: //再次密码
{SSHA}CrdqT5EAh8H2y2SorEUbuxP3R5eOggjb

{SSHA}CrdqT5EAh8H2y2SorEUbuxP3R5eOggjb复制出来,后面用得到

配置OpenLDAP

OpenLDAP 2.3之后的版本取消了/etc/openldap/slapd.conf的配置方式,使用ldif文件动态配置

vi /usr/share/openldap-servers/slapd.ldif

可以参考我的修改

[root@localhost ~]# cat /usr/share/openldap-servers/slapd.ldif
#
# See slapd-config(5) for details on configuration options.
# This file should NOT be world readable.
#

dn: cn=config
objectClass: olcGlobal
cn: config
olcArgsFile: /var/run/openldap/slapd.args
olcPidFile: /var/run/openldap/slapd.pid
#
# TLS settings
#  这是关于ssl协议的证书配置,我是用是openSSL生成的自签证书

olcTLSCACertificatePath: /etc/openldap/certs
olcTLSCertificateFile: /etc/openldap/certs/ldap.crt
olcTLSCertificateKeyFile: /etc/openldap/certs/ldap.key
#
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#
#olcReferral: ldap://root.openldap.org
#
# Sample security restrictions
#       Require integrity protection (prevent hijacking)
#       Require 112-bit (3DES or better) encryption for updates
#       Require 64-bit encryption for simple bind
#
#olcSecurity: ssf=1 update_ssf=112 simple_bind=64


#
# Load dynamic backend modules:
# - modulepath is architecture dependent value (32/64-bit system)
# - back_sql.la backend requires openldap-servers-sql package
# - dyngroup.la and dynlist.la cannot be used at the same time
#

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
#olcModulepath: /usr/lib/openldap
olcModulepath:  /usr/lib64/openldap
olcModuleload: accesslog.la
olcModuleload: auditlog.la
olcModuleload: back_dnssrv.la
olcModuleload: back_ldap.la
olcModuleload: back_mdb.la
olcModuleload: back_meta.la
olcModuleload: back_null.la
olcModuleload: back_passwd.la
olcModuleload: back_relay.la
olcModuleload: back_shell.la
olcModuleload: back_sock.la
olcModuleload: collect.la
olcModuleload: constraint.la
olcModuleload: dds.la
olcModuleload: deref.la
#olcModuleload: dyngroup.la
olcModuleload: dynlist.la
olcModuleload: memberof.la
olcModuleload: pcache.la
olcModuleload: ppolicy.la
olcModuleload: refint.la
olcModuleload: retcode.la
olcModuleload: rwm.la
olcModuleload: seqmod.la
olcModuleload: smbk5pwd.la
olcModuleload: sssvlv.la
olcModuleload: syncprov.la
olcModuleload: translucent.la
olcModuleload: unique.la
olcModuleload: valsort.la


#
# Schema settings
#

dn: cn=schema,cn=config
objectClass: olcSchemaConfig
cn: schema

include: file:///etc/openldap/schema/core.ldif

#
# Frontend settings
#

dn: olcDatabase=frontend,cn=config
objectClass: olcDatabaseConfig
objectClass: olcFrontendConfig
olcDatabase: frontend
#
# Sample global access control policy:
#       Root DSE: allow anyone to read it
#       Subschema (sub)entry DSE: allow anyone to read it
#       Other DSEs:
#               Allow self write access
#               Allow authenticated users read access
#               Allow anonymous users to authenticate
#
#olcAccess: to dn.base="" by * read
#olcAccess: to dn.base="cn=Subschema" by * read
#olcAccess: to *
#       by self write
#       by users read
#       by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
#

#
# Configuration database
#

dn: olcDatabase=config,cn=config
objectClass: olcDatabaseConfig
olcDatabase: config
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,c
 n=auth" manage by * none

#
# Server status monitoring
#

dn: olcDatabase=monitor,cn=config
objectClass: olcDatabaseConfig
olcDatabase: monitor
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,c
 n=auth" read by dn.base="cn=root,dc=这里改成自己的,dc=com" read by * none

#
# Backend database definitions
#

dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: hdb
olcSuffix: dc=这里改成自己的,dc=com
olcRootDN: cn=root,dc=这里改成自己的,dc=com
olcRootPW: {SSHA}PU4CNCews363SCGpb4hUYmrkHyMnUCrX  密码是前面生成的 
olcDbDirectory: /var/lib/ldap
olcDbIndex: objectClass eq,pres
olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
[root@localhost ~]#

导入DB_CONFIG、重新生成配置、修改目录权限并启动服务

删除配置

[root@localhost ~]# rm -rf /etc/openldap/slapd.d/*

导入配置

[root@localhost ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@localhost ~]# slapadd -n 0 -F /etc/openldap/slapd.d -l /usr/share/openldap-servers/slapd.ldif

修改目录权限

[root@localhost ~]# chown -R ldap.ldap /etc/openldap/slapd.d/*
[root@localhost ~]# chown -R ldap.ldap /var/lib/ldap/*

启动

[root@localhost ~]# systemctl start slapd

导入schema

[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

解决 报错 No Object

[root@localhost ~]# vim base.ldif
dn: dc=这里改成自己的,dc=com
o: 这里改成自己的
objectclass: dcObject
objectclass: organization


[root@localhost ~]# ldapadd -f base.ldif -x -D cn=root,dc=这里改成自己的,dc=com -W
输入密码

解决 systemctl start slapd 启动失败

  • 重新生成配置。
  • 重新生成配置仍然失败,完全卸载后重新安装。

启动ldap:// ldaps://

 slapd -h "ldap:/// ldaps:///"

修改启动端口

slapd -h "ldap://:123"

netstat -tunlp  查看

补充ldap.配置的签名

一.Server端自签名证书(ldap.key(私钥)、ldap.crt(证书、公钥))
1、首先安装openssl,已安装请忽略

yum -y install openssl

2、生成server端的私钥

cd /etc/openldap/certs/
openssl genrsa -out ldap.key 2048  //私钥

3、生成签名请求

openssl req -new -key ldap.key -out ldap.csr //生成签名请求

只有Common Name项一定要填写Sever的IP或域名,其余项可不填写。
4、生成自签名CA证书

openssl x509 -req -days 1095 -in ldap.csr -signkey ldap.key -out ldap.crt//公钥(自签名)

查看证书

openssl x509 -in ldap.crt -text -noout

JDK 版本升级到14 证书连接失败的问题

1、jdk14需要检查证书扩展属性,验证IP
2、使用openssl 生成v3证书增加服务器IP的扩展属性
2.1、增加v3证书扩展属性 需求修改openssl.cnf vi /etc/pki/tls/openssl.cnf

#部分配置  
#先搜搜看是否有  没有在文件底部新增,

[ alternate_names ]
IP.1 = 172.17.1.2
IP.2 = 172.17.1.3
DNS.1  = example1.com
DNS.2  = example2.com

#找到 v3_req
# 添加 subjectAltName = @alternate_names

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectAltName = @alternate_names

生成V3版本的证书

 openssl x509 -req   -extfile /etc/pki/tls/openssl.cnf -extensions v3_req  -in ldap.csr -out ldap.cer -signkey ldap.key  -days 3650   
 
\\ -extfile /etc/pki/tls/openssl.cnf -extensions v3_req  参数是生成 X509 V3 版本的证书的必要条件。

最后记得重启ldap 让证书生效

ps -ef | grep ldap #查询PID
kill-9  PID
slapd -h "ldap:/// ldaps:///"

JDK自带API连接LDAP

  /**
     * 连接LDAP
     * @param userName uid
     * @param passwd  
     * @param SearchName 所在的目录  例如ou=test,dc=maxcrc,dc=com
     * @return
     */
    public static DirContext connectLDAP(String userName, String passwd) {
    	
        Hashtable<String, String> env = new Hashtable<String, String>();
        logger.debug("===" + userName + "==="+passwd);

        env.put(Context.SECURITY_PRINCIPAL, userName );//用户名 全路径
        env.put(Context.SECURITY_CREDENTIALS, passwd);//密码
        env.put(Context.PROVIDER_URL, "ldap://127.0.0.1:389");//连接LDAP的URL和端口
        env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");//JNDI Context工厂类
        env.put(Context.SECURITY_AUTHENTICATION, "simple");//认证类型
      
        DirContext ctx=null;
        try {
        	ctx = new InitialLdapContext(env, null);//开始连接
        	logger.debug("===auth OK===");
        } catch (NamingException e) {
        	e.printStackTrace();
        	logger.error("===auth ERR==="+e.getMessage());
        }
        return ctx;
    }

Java连接ldaps

根据网上教程,导入后

keytool -import  -alias ldapserver -file D:\test\server.cert -keystore cacerts -storepass changeit
//具体可百度


env.put(Context.PROVIDER_URL, "ldaps://127.0.0.1:636");//导入的是jre目录下的cacerts 就可以连接

动态导入证书报证书签名错误

因为JVM启动只加载一次证书,如果不重启加载,这需要重写SSL SocketFactory

public class LdapSocketFactory extends SocketFactory {
	private static final Logger logger = RootLogger.getLog(LdapSocketFactory.class.getName());
	
	private static LdapSocketFactory instance = null;
	private SSLContext sslContext = null;
	private static String certFileName = "C:\\ldap.crt";

	public static SocketFactory getDefault() {

		try {
			instance = new LdapSocketFactory();
			instance.initFactory();
		} catch (Exception e) {
			e.printStackTrace();
			logger.debug("Returning null socket factory");
		}

		return instance;
	}

	private void initFactory() throws Exception {
		logger.debug("Initializing socket factory...");
		InputStream certStream = new FileInputStream(certFileName);
		CertificateFactory certificateFactory = CertificateFactory
				.getInstance("X.509");
		Certificate certificate = certificateFactory
				.generateCertificate(certStream);
		logger.debug("The certificate was generated. It is issued to "
				+ ((X509Certificate) certificate).getSubjectDN());
				
		KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
		keyStore.load(null, "myPassword".toCharArray()); //自定义密码
		
		new KeyStore.TrustedCertificateEntry(certificate);
		
		keyStore.setCertificateEntry("myCert", certificate);//自定义名称
		
		logger.debug("The Keystore was initialized.");
		
		TrustManagerFactory trustManagerFactory = TrustManagerFactory
				.getInstance("SunX509", "SunJSSE");
		trustManagerFactory.init(keyStore);
		logger.debug("The TrustManagerFactory was initialized.");
		
		sslContext = SSLContext.getInstance("TLS");
		sslContext.init(null, trustManagerFactory.getTrustManagers(),
				new SecureRandom());
		logger.debug("The SSLContext was initialized.");
	}

	@Override
	public Socket createSocket(String host, int port) throws IOException,
			UnknownHostException {
		// TODO Auto-generated method stub
		return sslContext.getSocketFactory().createSocket(host, port);
	}

	@Override
	public Socket createSocket(InetAddress host, int port) throws IOException {
		// TODO Auto-generated method stub
		return sslContext.getSocketFactory().createSocket(host, port);
	}

	@Override
	public Socket createSocket(String host, int port, InetAddress localHost, int localPort)
			throws IOException, UnknownHostException {
		// TODO Auto-generated method stub
		return sslContext.getSocketFactory().createSocket(host, port, localHost, localPort);
	}

	@Override
	public Socket createSocket(InetAddress address, int port, InetAddress localAddress,
			int localPort) throws IOException {
		// TODO Auto-generated method stub
		return sslContext.getSocketFactory().createSocket(address, port, localAddress, localPort);
	}

}

在connectLDAP方法中 添加

env.put("java.naming.ldap.factory.socket", LdapSocketFactory.class.getName());

如此,每次连接都会加载证书

高效编程
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JAVA中使用LDAP进行用户认证
08-28
JAVA中使用LDAP进行用户认证,可靠、可用、可复制
java代码通过ldaps连接AD域,实现写数据到AD域
u013930899的博客
03-15 1703
java代码通过ldaps连接AD域‘’,实现写数据到AD域。
java连接ldap实现用户查询功能
最新发布
刘大猫
05-25 815
我们公司原项目是Spring或者SpringBoot项目,现在假设收购了一家公司(人家所有账户信息都保存在ldap数据库中),现在需要把它集成进来,最终实现项目支持两种方式认证:必须先创建组,然后才能创建组下用户,不然cn=ldapUser1,ou=Develop,ou=Hytera,dc=yaobili,dc=com这么写是非法的 我创建了2个账户,ldapUser1账户1密码未加密Eadmin123456,ldapUser2账户2密码加密了设置的{SSHA}J3NuHvl3O8LdPuV2QFYc2pP
LDAP server端安装
dacming的博客
01-13 1490
操作系统centos 7.9 server ip 192.168.10.43 client ip 192.168.10.44 CentOS 安装 OpenLDAP 安装 systemctl stop slapd yum erase openldap-clients openldap-servers wget -q https://repo.symas.com/configs/SOFL/rhel7/sofl.repo -O /etc/yum.repos.d/sofl.repo yum up
LDAP的介绍以及JAVA使用LdapTemplate来进行AD域的操作
damokelisijian866的博客
12-18 1896
AD是Active Directory的缩写,AD是LDAP的一个应用实例,而不应该是LDAP本身。比如:windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题,只是AD顺便还提供了用户接口,也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库,微软自己在库中建立了几个表,每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的,而不是LDAP协议的规定。
java 操作 ldap_JAVA操作LDAP总结
weixin_39980184的博客
02-12 1903
一、LDAP概念LDAP的全称为Lightweight Directory Access Protocol(轻量级目录访问协议), 基于X.500标准, 支持 TCP/IP。LDAP目录为数据库,通过LDAP服务器(相当于DBMS)处理查询和更新, 以树状的层次结构来存储数据,相对关系型数据库, LDAP主要是优化数据读取的性能,适用于比较少改变、跨平台的信息。二、Softerra LDAP Ad...
Linux服务器Ldap安装及ldaps配置完整流程
justlpf的专栏
01-23 3920
参考文章:presto中ldaps配置完整流程 - letsfly - 博客园 无法以ldaps模式连接到openldap服务器-Java 学习之路
LDAP搭建,实现Linux账号统一管理
Eng_ingLi的博客
07-06 5787
详细的LDAP server端和client端的搭建方法
JAVA修改AD域密码_免证书
01-27
为了解决这个问题,我们可以使用JavaSSL免验证设置,使得代码能够绕过证书验证,简化流程。 以下是实现免SSL验证的关键步骤: 1. **禁用SSL验证**:在Java代码中,我们可以设置`java.security.properties`文件,...
ldapbrowser,LDAP连接工具
05-29
`ldapbrowser`作为一个IBM类工具,可能意味着它具有与IBM系统或服务集成的能力,或者是IBM推荐的用于管理其LDAP部署的第三方工具。 **JavaLDAP浏览器** 由于`ldapbrowser`被提及为“类似jar包打开工具”,我们...
Java LDAP Server-开源
07-10
3. **SLAPD(Simple LDAP Daemon)**:通常,SLAPD是一个流行的开源LDAP服务器,但Java LDAP Server提供了一种用纯Java实现的替代方案,这使得部署和管理更加方便,尤其在Java主导的环境中。 4. **安全与认证**:...
JAVA上百实例源码以及开源项目
01-03
 用JAVA编写了一个小工具,用于检测当前显示器也就是显卡的显示模式,比如分辨率,色彩以及刷新频率等。 Java波浪文字制作方法及源代码 1个目标文件 摘要:Java源码,初学实例,波浪文字  Java波浪文字,一个利用...
JAVA上百实例源码以及开源项目源代码
12-11
数字证书:从文件中读取数字证书,生成文件输入流,输入文件为c:/mycert.cer,获取一个处理X.509证书证书工厂…… Java+ajax写的登录实例 1个目标文件 内容索引:Java源码,初学实例,ajax,登录 一个Java+ajax写的...
java 连接ldaps
帆了个帆的专栏
05-14 4604
证书怎么生成的可以参考文章:https://blog.csdn.net/woloqun/article/details/90212376 将ldaps服务器的证书复制到client端,并将证书导入到本地环境 keytool -import -file apacheds.cer -alias apacheds -keystore /Library/Java/JavaVirtualMachine...
Java代码审计——LDAP
王嘟嘟的博客
02-14 2664
0x00 前言 反序列化总纲 对LDAP笔记进行整理和总结 0x01 LDAP基础 1、基础知识 LDAP(Lightweight Directory Access Protocol)轻量目录访问协议,主要用于访问目录服务 用户进行连接、查询、更新远程服务器上的目录。 目录服务:一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能。 目录:一个为查询、浏览和搜索而优化的数据库,树状结构 2、基本模型 2.1 目录树 整个目录信息集都可以是一个目录信息树,树中的每一个节点都是一个条目 条目:
ldapldap系列-javaldap的增删改查-翻页、重命名、密码修改
bpm的专栏
03-08 2050
公司有几千号员工,使用ldap管理人员账号,开发了一套ad域的管理系统,方便人员入离职账号的统一管理、运维账号统一管理、单点登录管理、现将经生产环境运行稳定的代码放出,供大家参考,网上资料太少了,很多代码都用不了,基本一步一坑, 一些高级功能,可以加群:669293878 讨论:例如ad域密码(unicodePwd)修改、查询翻页,对ad域的jdk免证书登录等 person类: package com.ad.ldaps; import lombok.Data; ....
LDAPjava操作AD域 解决常见问题SSL连接
weixin_49245941的博客
10-09 1563
LDAP(轻型目录访问协议) 通过IP协议提供访问控制和维护分布式信息的目录信息 是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。 1、LDAP的结构用树来表示,而不是用表格。可以使用JDBC方式或者JNDI方式操作。 2、LDAP可以很快地得到查询结果,不过在写方面,就慢得多。 3、LDAP提供了静态数据的快速查询方式。 4、Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具。 5、LDAP是一种开放Internet标准,LD
统一身份认证(SSO/AD域/LDAP
weixin_44281141的博客
03-17 5897
公司需要一个统一认证系统,自助分配权限系统,定期审计,集中分配与追踪所有权限,便于记录。单点登录网络生活中随处可见,比如登录了QQ客户端,然后你可以打开腾讯微博,QQ空间,QQ邮箱,校友录等等一系列的应用,这时候我们不需要在一个个再输入用户名和密码了,作为受信任的站点,就可以直接登录了。入职后每个人会接触多个系统,项目管理系统,需求管理系统,代码仓库,持续集成,文件服务器,有八个系统就有八个密码,每个系统用一个密码安全隐患较大,每个系统都用不同的密码也不容易记住。收费较高,公司使用不建议使用破解版本。
ldap java_JAVA_基本LDAP操作实例
weixin_39600704的博客
02-12 250
这篇文章介绍了JAVA_基本LDAP操作实例,有需要的朋友可以参考一下一、简介Lightweight Directory Access Protocol (LDAP),轻型目录访问协议是一个访问在线目录服务的协议。下面的例子中简单介绍在java中队ldap的增删该查功能。目录结构为:CD=CAS,DC=MYDC--cn=users----uid=zhangsan二、示例1、通过LdapContex...
java 建立ldap连接
01-04
根据提供的引用内容,建立LDAP连接池的步骤如下: 1. 配置LDAP连接池的上下文环境: ```java Hashtable<String, String> env = new Hashtable<>(); env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); env.put(Context.PROVIDER_URL, "ldap://ldap.example.com:389"); env.put(Context.SECURITY_AUTHENTICATION, "simple"); env.put(Context.SECURITY_PRINCIPAL, "cn=admin,dc=example,dc=com"); env.put(Context.SECURITY_CREDENTIALS, "password"); ``` 2. 创建LDAP连接池对象: ```java DirContext ctx = new InitialDirContext(env); ``` 3. 配置连接池属性: ```java ctx.addToEnvironment(javax.naming.Context.PROVIDER_URL, "ldap://ldap.example.com:389"); ctx.addToEnvironment(javax.naming.Context.SECURITY_AUTHENTICATION, "simple"); ctx.addToEnvironment(javax.naming.Context.SECURITY_PRINCIPAL, "cn=admin,dc=example,dc=com"); ctx.addToEnvironment(javax.naming.Context.SECURITY_CREDENTIALS, "password"); ctx.addToEnvironment(javax.naming.Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); ctx.addToEnvironment(javax.naming.Context.SECURITY_PROTOCOL, "ssl"); ctx.addToEnvironment(javax.naming.Context.SECURITY_PROTOCOL, "tls"); ctx.addToEnvironment(javax.naming.Context.SECURITY_PROTOCOL, "ssl"); ctx.addToEnvironment(javax.naming.Context.SECURITY_PROTOCOL, "ssl"); ``` 4. 创建连接池对象: ```java DataSource ds = (DataSource) ctx.lookup("java:comp/env/jdbc/dbpooling"); ``` 请注意,以上代码仅为示例,实际配置和使用LDAP连接池可能会因环境和需求而有所不同。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值