Centos7 搭建LDAP并启用TLS加密

简介

  • LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是为了实现目录服务的信息服务。
  • 目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。在网络中应用了LDAP后,用户只需要使用一个账号和密码就可以轻松访问网络中的所有服务,实现用户身份的统一认证。
  • 简单来说:拿LDAP来统一管理一些账号,例如: Gitlab,JenKins,Samba,SVN,Zabbix等。

关于SSL/TLS

  • LDAP over SSL
# LDAP over SSL 也就是 ldaps
# ldap默认不加密情况下是走的389端口
# 当使用ldaps的时候走的就是636端口了
# 可以简单理解成http和https的关系
# 当然ldaps已经淘汰了,不然也不会有LDAP over TLS出来
  • LDAP over TLS
# TLS可以简单理解为ldaps的升级
# 它默认走389端口,但是会通讯的时候加密
# 客户端连接LDAP时,需要指明通讯类型为TLS,所以他可以跟不加密的模式一样,任意端口都行

对比一下连接方式:
ldaps: ldapsearch -H ldaps://127.0.0.1
TLS:   ldapsearch -ZZ -H ldap://127.0.0.1

环境

CentOS Linux release 7.5.1804
Kernel 4.20.0-1.el7.elrepo.x86_64

docker-ce 18.09
docker-compose 1.23.1

安装docker-compose

yum install -y python-pip
pip install docker-compose
docker-compose -v

准备证书

  • 安装cfssl
wget -O /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget -O /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget -O /bin/cfssl-certinfo  https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
for cfssl in `ls /bin/cfssl*`;do chmod +x $cfssl;done;
  • 配置证书信息
cd $HOME && mkdir ssl && cd ssl

# ca配置文件
cat > ca-config.json << EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "ldap": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF
# 自签名ca的证书申请
cat > ldap-ca-csr.json << EOF
{
  "CN": "ldap",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Shenzhen",
      "L": "Shenzhen",
      "O": "ldap",
      "OU": "LDAP Security"
    }
  ]
}
EOF

# ldap证书申请资料
# 下面hosts字段里就是使用这张证书的主机
# 特别注意一定要加上宿主机的IP地址,反正是自己颁发的证书,怎么加都行!!!
# 加上本机回环地址,加上ldap容器名,我这里容器名待会设置成openldap
# 如果你要放到公网去的话,那一可以加上FQDN地址

cat > ldap-csr.json << EOF
{
    "CN": "ldap",
    "hosts": [
      "127.0.0.1",
      "192.168.1.1",
      "openldap",
      "ldap.lotbrick.com",
      "lotbrick.com"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "Shenzhen",
            "L": "Shenzhen",
            "O": "ldap",
            "OU": "LDAP Security"
        }
    ]
}
EOF
  • 给证书签名
# CA自签名
cfssl gencert -initca ldap-ca-csr.json | cfssljson -bare ca

# LDAP证书签名,ldap需要的文件为:ca证书,ldap证书,ldap私钥
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=ldap ldap-csr.json | cfssljson -bare ldap

# 查看生成的证书
# 其中  ldap-key.pem  ldap.pem ca.pem 是我们需要的
[[email protected] ssl]#ls
ca-config.json  ca.csr  ca-key.pem  ca.pem  ldap-ca-csr.json  ldap.csr  ldap-csr.json  ldap-key.pem  ldap.pem

开始安装ldap

  • 克隆仓库,获取docker-compose.yaml文件
cd $HOME
git clone https://github.com/JyBigBoss/docker-compose.git
cd docker-compose/LDAP/
  • 复制证书
mkdir ssl/
cp $HOME/ssl/{ldap-key.pem,ldap.pem,ca.pem} ssl/
  • 修改docker-compose.yaml文件
vi docker-compose.yaml

# 修改下面的几项
# 镜像使用的是osixia/openldap
# 详细的配置解释:https://github.com/osixia/docker-openldap

LDAP_ORGANISATION: "lotbrick.com"
LDAP_DOMAIN: "lotbrick.com"
LDAP_ADMIN_PASSWORD: "admin"
LDAP_CONFIG_PASSWORD: "admin"
LDAP_TLS: "true"
LDAP_TLS_CRT_FILENAME: "ldap.pem"
LDAP_TLS_KEY_FILENAME: "ldap-key.pem"
LDAP_TLS_CA_CRT_FILENAME: "ca.pem"
LDAP_TLS_ENFORCE: "true"
LDAP_TLS_VERIFY_CLIENT: "try"
domainname: "lotbrick.com"
hostname: "lotbrick.com"

# 特别注意LDAP_TLS_VERIFY_CLIENT
# 不要设置成demand,这个选项可以理解成双向认证,也就是客户端连接ldap时也许要提供证书,也就是客户端也需要有自己的证书
# 设置成try就行,客户端不提供证书也能连接,反正连接已经加密了。
# 官方文档:http://www.openldap.org/doc/admin24/tls.html

  • 启动ldap
#第一次启动会比较慢,淡定点
docker-compose pull
docker-compose up -d
ls
docker ps -a 

# 启动之后会生成几个文件夹
# ldapconf保存的是ldap的配置文件
# ldapdata保存的是ldap的数据
# lam保存的是lam管理工具的配置

[[email protected] LDAP]#docker-compose up -d
Creating network "ldap_default" with the default driver
Creating openldap ... done
Creating ldap-account-manager ... done
[[email protected] LDAP]#ls
docker-compose.yaml  lam  ldapconf  ldapdata  ssl

[[email protected] LDAP]#docker ps -a
CONTAINER ID        IMAGE                                 COMMAND                  CREATED             STATUS              PORTS                                        NAMES
9b4ebdad17eb        jinyunboss/ldap-account-manager:6.6   "docker-php-entrypoi…"   2 minutes ago       Up 2 minutes        0.0.0.0:8080->80/tcp                         ldap-account-manager
a7ff3bd5dced        osixia/openldap:1.2.2                 "/container/tool/run"    2 minutes ago       Up 2 minutes        0.0.0.0:389->389/tcp, 0.0.0.0:636->636/tcp   openldap

打开浏览器,配置LDAP Account Manager

  • LDAP Account Manager容器监听在8080端口
  • 打开http://192.168.1.1:8080
# 配置一下lam管理页面
# lam管理界面默认密码是: lam
# lam可以管理多个ldap服务器,所以可以拥有多个profile,每个profile对应一台服务器

# 简单添加个用户,然后用另一台linux机器测试ldap连接





































测试LDAP

  • 安装ldap客户端
yum install -y openldap-clients  nss-pam-ldapd
  • 配置配置客户端
# 配置系统使用ldap认证
authconfig-tui

# 将自签名的ca证书给客户端
cd /etc/openldap/cacerts/

# 修改/etc/nslcd.conf,添加管理员凭据
echo "binddn cn=admin,dc=lotbrick,dc=com" >> /etc/nslcd.conf
echo "bindpw admin"  >> /etc/nslcd.conf

cat /etc/nslcd.conf

# 重启nslcd服务

systemctl restart nslcd





  • 测试
# 执行命令看看能不能读取到LDAP用户
# 能连接上ldap的话,执行之后会出现ldap用户

getent passwd

id bigboss

# 切换成bigboss用户试试

su - bigboss


原文地址:http://blog.51cto.com/bigboss/2341986

时间: 2024-10-13 07:27:40

Centos7 搭建LDAP并启用TLS加密的相关文章

centos7搭建LDAP

centos7搭建LDAP 一.安装Openldap [[email protected] ~]# yum install -y openldap openldap-clients openldap-servers migrationtools 二.配置项 [[email protected] ~]# vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif # AUTO-GENERATED FILE - DO NOT EDI

centos7搭建vsftpd并启用虚拟用户

虚拟用户的特点是只能访问服务器为其提供的FTP服务,不能访问系统的其它资源,所以,如果想让用户对FTP服务器站内具有写权限,但又不允许访问系统其他资源,可以使用虚拟用户来提高系统的安全性. 在vsftpd中,谁这些虚拟用户使用的是单独的口令库文件(pam_userdb),由可插入认证模块(PAM)认证.使用这种方式更加安全,并且配置更加灵活. 安装vsftpd,Berkeley Database(db4) yum install vsftpd db4-utils db4 -y 创建虚拟用户数据库

2020年,手把手教你如何在CentOS7上一步一步搭建LDAP服务器的最新教程

同步滚动:关 什么是LDAP 什么是LDAP? 要想知道一个概念,最简单的办法就是wikipedia,当然也可以百科. LDAP全称是轻型目录访问协议(Lightweight Directory Access Protocol)是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息. 简单理解起来就是LADP包含一个数据库存储了树状结构组织数据,和一套协议,第三方可通过这套协议进行数据的查询与搜索的功能. 它用的协议基于X.500标准的轻量级目录访问协议,是

在SuperSocket中启用TLS/SSL传输层加密

关键字: TLS, SSL, 传输层加密, 传输层安全, 证书使用, X509Certificate SuperSocket 支持传输层加密(TLS/SSL) SuperSocket 有自动的对TLS/SSL的支持,你可以无须增加或者修改任何代码,就能让你的服务器支持TLS/SSL. 想要为你的 SuperSocket 服务器启用 TLS/SSL,你需要先准备好一个授权证书 你有两种方式提供证书: 1.一个带有私钥的 X509 证书文件 你可以通过 CertificateCreator in S

Openldap配置TLS加密传输

为啥要用TLS? Openldap默认使用简单验证,对slapd的所有访问都使用明文密码通过未加密通道进行.为了确保信息安全,需要对信息进行加密传输,SSL(Secure Sockets Layer)是一个可靠的解决方案. 它使用 X.509 证书,由可信任第三方(Certificate Authority (CA))进行数字签名的一个标准格式的数据.有效的数字签名意味着已签名的数据没有被篡改.如果签名的数据被更改,将不会通过验证 SSL/TLS 加密原理简介 SSL/TLS 是基于 PKI 机

[转帖]windows 2008 Server R2 /Win7启用TLS 1.2

来自新浪博客的 一个文章 自己很早之前曾经看过 iis的加密工具 但是当时没有认识到TLS1.2协议的问题 这里 晚上学习了一下.  http://blog.sina.com.cn/s/blog_1673e9cce0102wtto.html windows 2008 Server R2 /Win7启用TLS 1.2 满足苹果的ATS   微信企业号发布公告, 从2017年1月1日起 App Store中的所有应用都必须启用 App Transport Security安全功能.App Trans

centos7搭建superset数据平台

安装完安装一些基础包: yum -y install perl gd gd-devel libpng libpng-devel libjpeg libjpeg-devel zlib zlib-devel pcre-devel gcc gcc-c++ make cmake autoconf openssl openssl-devel ncurses-devel patch libxml2 libxml2-devel curl-devel openldap openldap-devel libeve

CentOS7 搭建LVS+keepalived负载均衡

CentOS7 搭建LVS+keepalived负载均衡(一) 本文中只涉及一台负载均衡服务器,和两台真实服务器,主要是初步体验负载均衡:实际的环境中,lvs和keepalived一起用才是黄金搭档,下篇将继续讲述lvs+keepalived的搭建过程 一.本次搭建的系统架构图- 虚拟机:VirtualBox- virtaulbox host-only的IP地址:192.168.137.1- 所用系统:CentOS7- 真实web服务器(RS1):192.168.137.5- 真实web服务器(

对Elastic集群配置TLS加密通信及身份验证

1.介绍 官方宣布从6.8和7.1开始,免费提供多项安全功能.其中包括tls加密通信,基于角色访问控制等功能. 可以使用企业CA证书来完成这一步骤,但是一般情况下,我们可以通过elasticsearch自带的elasticsearch-certutil的命令生成证书.然后各节点通过该证书可以进行安全通信. 2. 步骤 2.1 生成证书 搭建好了es集群,先拿第一个节点来操作,进入elasticsearch目录,然后执行以下命令. cd /usr/share/elasticsearch # 使用y