ICode9

精准搜索请尝试: 精确搜索
首页 > 系统相关> 文章详细

Linux 安装并配置 OpenLDAP 新编(8)启用TLS

2022-05-19 09:05:27  阅读:367  来源: 互联网

标签:TLS tls enable -- ldap etc OpenLDAP Linux slapd


Linux 安装并配置 OpenLDAP 新编(8)启用TLS

原本并不想继续深入了,随便搭建个环境能用即可。后来又觉得已经研究了个5成,至少搞定了TLS达到及格线的水平。于是经过数天无数次的重装、重置,无数次反复的失败,终于摸索出了在类 CentOS8 系统中编译安装 OpenLDAP,并启用 TLS 的方法。

准备工作

环境设定

目前测试服务器的信息如下:

域名/Hostname IP OS
server.example.com 192.168.188.220 Oracle Linux R8

LDAP系统账户

经过多次尝试,似乎启用TLS一定要用非root帐号的系统账户来进行授权方可,这一点可以仿照CentOS7系统yum安装一样,创建一个专用账户:

useradd -r -M -d /var/lib/openldap -c "OpenLDAP Account" -u 55 -s /usr/sbin/nologin ldap

再再再……次安装

依赖软件

启用TLS的依赖,实际上只需要多一下 openssl 相关软件包即可:

yum install openssl openssl-devel -y

编译及安装

./configure --prefix=/usr --sysconfdir=/etc \
--enable-debug --enable-dynamic --enable-syslog --enable-rlookups \
--enable-slapd --enable-crypt --enable-spasswd --enable-modules \
--enable-overlays=mod \
--with-cyrus-sasl --with-tls=openssl
# 安装
make depend
make
make install

相比之前的编译配置,此次做了如下几处微调:

  • --prefix 以及 --sysconfdir 重新指定了安装后的位置,省的后面再添加 PATH 路径;
  • 改用了 --enable-overlays 来启用所有的模块,模块安装后的位置在:/usr/libexec/openldap;
  • 通过 --with-tls=openssl 来指定提供TLS的组件名称。

创建数据目录

mkdir /var/lib/openldap /etc/openldap/slapd.d
# 设置目录权限
chown -R ldap:ldap /var/lib/openldap
chown root:ldap /etc/openldap/slapd.conf
chmod 640 /etc/openldap/slapd.conf

chown -R ldap:ldap /etc/openldap/slapd.d

创建系统守护进程

编辑服务文件

# vim /etc/systemd/system/slapd.service

[Unit]
Description=OpenLDAP Server Daemon
After=syslog.target network-online.target
Documentation=man:slapd
Documentation=man:slapd-mdb

[Service]
Type=forking
PIDFile=/var/lib/openldap/slapd.pid
Environment="SLAPD_URLS=ldap:/// ldapi:/// ldaps:///"
Environment="SLAPD_OPTIONS=-F /etc/openldap/slapd.d"
ExecStart=/usr/libexec/slapd -u ldap -g ldap -h ${SLAPD_URLS} $SLAPD_OPTIONS

[Install]
WantedBy=multi-user.target

启用守护进程

systemctl daemon-reload

systemctl enable --now slapd

systemctl status slapd

启用证书

此处是一个天坑,,,目前网上能搜到的信息,基本都是按照:生成CA密钥-->生成CA证书-->生成服务器密钥-->生成服务器证书。然而,这只适用于类 CentOS7 系统,在类 CentOS8 中,不需要生成CA密钥即证书!!! 仅就这一点差异,重新安装了不下10遍才实践出真正的缘由。

生成证书

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout \
/etc/pki/tls/ldapserver.key -out /etc/pki/tls/ldapserver.crt
# 修改权限
chown ldap:ldap /etc/pki/tls/{ldapserver.crt,ldapserver.key}

在这一步生成证书的过程中,有些文档提到过CN一定要和服务器名称一致,但是在实测中也确实没有测试过不一致,是不是真的会出问题。

配置文件

此处用服务器证书自身做为CA证书。

# cat add-tls.ldif
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/pki/tls/ldapserver.crt
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/pki/tls/ldapserver.key
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/pki/tls/ldapserver.crt

导入配置

ldapadd -Y EXTERNAL -H ldapi:/// -f add-tls.ldif
slapcat -b "cn=config" | grep olcTLS

客户端配置

# vim /etc/openldap/ldap.conf
TLS_CACERT     /etc/pki/tls/ldapserver.crt

验证配置成功最简单的方式,就是在查询时添加 -Z 或者 -ZZ 参数来指定通过 ldaps 协议访问,例如:

ldapsearch -x -ZZ

参考资料

标签:TLS,tls,enable,--,ldap,etc,OpenLDAP,Linux,slapd
来源: https://www.cnblogs.com/bashenandi/p/openldap-tls.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有