19、LDAP TLS配置

LDAP模式是明文传输,为了安全起见,最好配置TLS加密方式传输。下面是配置过程(省略了LDAP SERVER的配置过程,前面的文档中有)

环境:

LDAP SERVER1  172.16.42.136

LDAP SERVER2  172.16.42.137

CA SERVER & LDAP Client 172.16.42.135

CA Server配置:

CA服务器创建私钥

#cd /etc/pki/CA

#(umask 077; openssl genrsa -out private/cakey.pem 2048)

修改/etc/pki/tls/openssl.conf配置文件,修改证书默认的相关设置

[ req_distinguished_name ]
countryName_default             = CN
stateOrProvinceName_default     = Shanghai
localityName_default    = Shanghai
0.organizationName_default      = beyondh
organizationalUnitName_default  = OPS

生成自签署证书

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Shanghai]:
Locality Name (eg, city) [Shanghai]:
Organization Name (eg, company) [beyondh]:
Organizational Unit Name (eg, section) [OPS]:
Common Name (eg, your name or your server‘s hostname) []:ca.beyondh.org
Email Address []:[email protected]

默认/etc/pki/CA路径下没有serial 和index.txt文件,需要手动创建

touch index.txt
[[email protected] CA]# echo 01 > serial
[[email protected] CA]# ls
cacert.pem  certs  crl  index.txt  newcerts  private  serial

LDAP SERVER配置

生成私钥文件

pwd
/etc/pki/CA
[[email protected] CA]# (umask 077; openssl genrsa 1024 > ldap.key) 
Generating RSA private key, 1024 bit long modulus
............................++++++
.......++++++
e is 65537 (0x10001)
[[email protected] CA]# ls
certs  crl  ldap.key  newcerts  private

生成证书请求文件

openssl req -new -key ldap.key -out ldap.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Shanghai
Locality Name (eg, city) [Default City]:Shanghai
Organization Name (eg, company) [Default Company Ltd]:beyondh
Organizational Unit Name (eg, section) []:OPS
Common Name (eg, your name or your server‘s hostname) []:ldap.beyondh.org
Email Address []:[email protected]
Please enter the following ‘extra‘ attributes
to be sent with your certificate request
A challenge password []:

将证书请求文件拷贝到CA Server

scp ldap.csr 172.16.42.135:/tmp

登录CA Server,将ldap server的证书请求文件签署成证书文件

openssl ca -in /tmp/ldap.csr -out ldap.crt -days 3650
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Mar 24 07:18:05 2017 GMT
            Not After : Mar 22 07:18:05 2027 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = Shanghai
            organizationName          = beyondh
            organizationalUnitName    = OPS
            commonName                = ldap.beyondh.org
            emailAddress              = [email protected]
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                02:CF:80:2A:80:99:1D:FA:8A:AC:B2:52:B8:4F:21:ED:BF:A9:33:8F
            X509v3 Authority Key Identifier: 
                keyid:E0:08:32:85:E9:45:AD:5B:BF:EB:42:15:EE:65:3C:80:56:00:24:93
Certificate is to be certified until Mar 22 07:18:05 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

将CA服务器自己的证书和LDAP SERVER的证书文件拷贝到 LDAP SERVER上

[[email protected] tmp]# scp /tmp/ldap.crt 172.16.42.137:/root
[[email protected] CA]# scp /etc/pki/CA/cacert.pem 172.16.42.137:/root
登录LDAP SERVER,修改/etc/openldap/slapd.conf配置文件
TLSCACertificatePath /etc/openldap/certs
TLSCertificateFile /etc/openldap/certs/ldap.crt
TLSCertificateKeyFile /etc/openldap/certs/ldap.key
TLSVerifyClient  allow

说明:

never:默认选项,不验证客户端证书。

allow:检查客户端证书,没有证书或证书错误,都允许连接。

try:检查客户端证书,没有证书(允许连接),证书错误(终止连接)。

demand | hard | true:检查客户端证书,没有证书或证书错误都将立即终止连接。

#修改ldap server 端/etc/sysconfig/ldap文件

SLAPD_LDAP=yes
SLAPD_LDAPS=yes

重新生成配置文件,并重启slapd服务

rm -rf slapd.d/*
slaptest  -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
chown -R ldap:ldap slapd.d
/etc/init.d/slapd restart

客户端配置

客户端修改配置文件/etc/openldap/ldap.conf

TLS_CACERTDIR /etc/openldap/cacerts
URI ldaps://172.16.42.137
BASE dc=beyondh,dc=org
TLS_REQCERT allow 
TLS_CACERT /etc/openldap/cacerts/cacert.pem

客户端重启

[[email protected] CA]# /etc/init.d/nslcd restart

测试客户端是否能够连接服务器端

[[email protected] openldap]# ldapwhoami -v -x -Z
ldap_initialize( <DEFAULT> )
ldap_start_tls: Operations error (1)
        additional info: TLS already started
anonymous
Result: Success (0)

注意:

配置为TLS认证方式后,如果没有启动ldap方式,仅仅启用了ldaps认证方式,phpldapadmin web管理工具无法登陆了。原因不清楚。

另外做了mirrormode 的两台LDAP SERVER,如何使用TLS加密方式同步也不清楚。

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650

时间: 2024-10-06 00:34:55

19、LDAP TLS配置的相关文章

ldap安装配置过程中遇到的错误,以及解决方法

错误1: [[email protected] openldap]# ldapsearch -LLL-W -x -H ldap://etiantian.org -D "cn=admin,dc=etiantian,dc=org" -b"dc=etiantian,dc=org" "(uid=*)" Enter LDAP Password: ldap_bind: Invalid credentials (49) 错误描述: 搜选的时候,提示ldap_b

ubuntu ldap安装配置

最近在进行ldap项目,预先学习 ubuntu安装 第一步 apt-get update apt-get upgrade 第二步 安装slapd工具 apt-get install slapd ldap-utils 安装openssl wget https://www.openssl.org/source/openssl-1.1.0c.tar.gztar -xzf openssl-1.1.0c.tar.gzcd openssl-1.1.0c./config --prefix=/usr/local

服务器ldap认证配置

1.yum -y install openldap-clients nss-pam-ldapd openldap 2.vim /etc/openldap/ldap.conf进入此配置文件添加如下2行 URI       ldap://ldap.shuyun.com:389 BASE   dc=shuyun,dc=com 3.配置自动创建家目录 authconfig --enableldap --enableldapauth --enablemkhomedir --ldapserver=ldap:

[FTP] Pure-FTPd SSL/TLS 配置方法

一.准备 & 安装启用 Pure-FTPd SSL/TLS 连接方式在安装时需要检查以下两项:1.系统中是否已经安装了 openssl 和 openssl-devel 包?2.在编译 Pure-FTPd 的时候需要加载 --with-tls 二.证书制作在成功安装好 Pure-FTPd 后,我们需要制作一张 SSL 证书供 Pure-FTPd 使用. 编译安装后的 Pure-FTPd 默认的证书存储位置为:/etc/ssl/private/pure-ftpd.pem,该文件会在 Pure-FTP

ldap 初始化配置

dn: cn=config objectClass: olcGlobal cn: config olcArgsFile: /var/run/openldap/slapd.args olcPidFile: /var/run/openldap/slapd.pid # # TLS settings # olcTLSCACertificatePath: /etc/openldap/certs olcTLSCertificateFile: "OpenLDAP Server" olcTLSCert

centos7.2 LDAP(TLS)+autofs+ssh

写前先祝福下勒布朗·詹姆斯 网上搜了很多关于centos7.2部署ldap的文章,这里也写一下自己的 实验环境系统:CentOS Linux release 7.2.1511 (Core)内核:3.10.0-327.el7.x86_64服务端IP:192.168.10.16客户端IP:192.168.10.17 第一步 selinux和firewalld [[email protected] opt]# getenforce Permissive [[email protected] opt]#

SSL/TLS 配置

Quick Start 下列说明将使用变量名 $CATALINA_BASE 来表示多数相对路径所基于的基本目录.如果没有为 Tomcat 多个实例设置 CATALINA_BASE 目录,则 $CATALINA_BASE 就会设定为 $CATALINA_HOME 的值,也就是你安装 Tomcat 的目录. 在 Tomcat 中安装并配置 SSL/TLS 支持,只需遵循下列几步即可.详细信息可参看文档后续介绍. 创建一个 keystore 文件保存服务器的私有密钥和自签名证书:Windows:"%J

夺命雷公狗ThinkPHP项目之----企业网站19之网站配置信息的修改

我们这个其实也是很简单的,思路是直接将提交过来的cf_id 改成我们自己定义好的 “1” 即可,因为1配置只能有一个,所以永久都是该id 为1的: 先来完成我们的控制器,代码如下所示: public function edit(){ $id = '1'; $mod = M('Conf')->find($id); $this -> assign('mod',$mod); //dump($mod); if(IS_POST){ $data['cf_id'] = $id; $data['cf_name

1-9 Pycharm简单配置

1.创建项目:create new project > Pure Python > Location 存储路径 2.Location 下面有一个 Project Interpretern :  更改为:Existing interpreter  引入外部解释器,选择Python 3.6   计算机安装的解释器 3.创建Python File 即可.直接就可以写代码. 原文地址:https://www.cnblogs.com/alu-/p/11351014.html