让OpenLdap支持SSL/TLS

2019-07-13 147 ℃ 导读

导读 : 一、安装openldapyum-y请看留言吧eopenldap二、配置openldapdatabase    bdbsuffix     "dc=yunweibang,dc=com"checkpoint   102415rootdn     "cn=admin,dc=yunweibang,dc=com"rootpw{SSHA}Xisbg...

导读 : 一、安装openldapyum-y请看留言吧eopenldap二、配置openldapdatabase    bdbsuffix     "dc=yunweibang,dc=com"checkpoint   102415...


让OpenLdap支持SSL/TLS


一、安装openldap

yum -y 请看留言吧e openldap


二、配置openldap

database bdb

suffix "dc=yunweibang,dc=com"

checkpoint 1024 15

rootdn "cn=admin,dc=yunweibang,dc=com"

rootpw {SSHA}Xisbg6WvTNopMz3GaeeHbwAuXeqBTZ4G

#上面密码用slappasswd命令生成的


三、绑定域名到主机,编辑hosts

IP ldap.yunweibang.com


四、创建CA

cd /etc/openldap/certs/

openssl genrsa -out ldap.key 1024

openssl req -new -key ldap.key -out ldap.csr


五、生成签名

openssl x509 -req -days 3650 -in ldap.csr -signkey ldap.key -out ldap.crt


六、设置权限

chmod 700 /etc/openldap/大众娱乐官网certs/

chown -R ldap.ldap /etc/openldap/certs/


七、编辑/etc/openldap/slapd.conf

添加

TLSCertificateFile /etc/openldap/certs/ldap.crt

TLSCertificateKeyFile /etc/openldap/certs/ldap.key

TLSVerifyClient never


八、编辑/etc/openldap/ldap.conf

添加

TLS_REQCERT allow

合乐娱乐

TLS_CERT /etc/openldap/certs/ldap.crt

TLS_KEY /etc/openldap/certs/ldap.crt

URI ldaps://ldap.yunweibang.com

BASE dc=yunweibang,dc=com


九、重新生成配置,并重启服务

service slapd stop

rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

chown -R ldap.ldap /etc/openldap/slapd.d//var/lib/ldap/


十、默认同时启动ldap和ldaps,编辑/etc/sysconfig/ldap

SLAPD_LDAP=yes

SLAPD_LDAPI=no

SLAPD_LDAPS=yes


十一、启动并查看是否已经启动

service slapd restart

netstat -tnlp |grep 389

netstat -tnlp |grep 636


十二、验证服务

#ldapwhoami -v -x -Z

ldap_initialize( <DEFAULT> )

大众娱乐

ldap_start_tls: Operations error (1)

additional info: TLS already started

anonymous

Result: Success (0)


十三、java链接

方法一、用java的keytool工具把证书导入

keytool -import -alias ldapserver -file /etc/openldap/certs/ldap.crt -keystore ldap.jks -keypass changeit -storepass changeit

java程序里指定keyskk娱乐tore和密码即可,keystore写$JAVA_HOME/jre/lib/security/cacerts也可以


方法二、忽略证书,程序可以google一下



本站所收集的资源来源于互联网公开资料,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。本站部分作品是由网友自主投稿和发布,本站仅为交流平台,不为其版权负责。

金秋时节!同盟军各旅驻地官兵纷纷开展“助农秋收”活动
环保、民生属性更优先,成本下降空间有限,《生物质电价政策研究报告》正式发布!