让OpenLdap支持SSL/TLS

来源: | 浏览量:230 次 | 发布时间:2019-08-12 14:10

一、安装openldap

yum -y 请看留言吧e openldap


二、配置openldap

database        bdb

suffix          "dc=yunweibang,dc=com"

checkpoint      1024 15

rootdn          "cn=admin,dc=yunweibang,dc=com"

rootpw {SSHA}Xisbg6WvTNopMz3GaeeHbwAuXeqBTZ4G

#上面密码用slappasswd命令生成的


三、绑定域名到主机,编辑hosts

IP   ldap.yunweibang.com


四、创建CA

cd /etc/openldap/certs/

openssl genrsa -out ldap.key 1024

openssl req -new -key ldap.key -out ldap.csr


五、生成签名

openssl x509 -req -days 3650 -in ldap.csr -signkey ldap.key -out ldap.crt


六、设置权限

chmod 700 /etc/openldap/certs/

chown -R ldap.ldap /etc/openldap/certs/


七、编辑/etc/openldap/slapd.conf

添加

TLSCertificateFile  /etc/openldap/certs/ldap.crt

TLSCertificateKeyFile  /etc/openldap/certs/ldap.key

TLSVerifyClient never

 

八、编辑/etc/openldap/ldap.conf

添加

TLS_REQCERT allow

TLS_CERT /etc/openldap/certs/ldap.crt

TLS_KEY /etc/openldap/certs/ldap.crt

URI  ldaps://ldap.yunweibang.com

BASE dc=yunweibang,dc=com


九、重新生成配置,并重启服务

service slapd stop

rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

chown -R ldap.ldap /etc/openldap/slapd.d/ /var/lib/ldap/


十、默认同时启动ldap和ldaps,编辑/etc/sysconfig/ldap

SLAPD_LDAP=yes

SLAPD_LDAPI=no

SLAPD_LDAPS=yes


十一、启动并查看是否已经启动

service slapd restart

netstat -tnlp |grep 389

netstat -tnlp |grep 636


十二、验证服务

#ldapwhoami -v -x -Z

ldap_initialize( <DEFAULT> )

ldap_start_tls: Operations error (1)

        additional info: TLS already started

anonymous

Result: Success (0)


十三、java链接

方法一、用java的keytool工具把证书导入

keytool -import  -alias ldapserver -file /etc/openldap/certs/ldap.crt -keystore ldap.jks -keypass changeit -storepass changeit

java程序里指定keystore和密码即可,keystore写$JAVA_HOME/jre/lib/security/cacerts也可以


方法二、忽略证书,程序可以google一下




本文永久链接:http://www.monsterheadphones08.com/i/d/1639492.shtml

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;
3.作者投稿可能会经我们编辑修改或补充。