Linux 安装并配置 OpenLDAP 新编(8)启用TLS

Linux 安装并配置 OpenLDAP 新编(8)启用TLS

原本并不想继续深入了,随便搭建个环境能用即可。后来又觉得已经研究了个5成,至少搞定了TLS达到及格线的水平。于是经过数天无数次的重装、重置,无数次反复的失败,终于摸索出了在类 CentOS8 系统中编译安装 OpenLDAP,并启用 TLS 的方法。

准备工作

环境设定

目前测试服务器的信息如下:

域名/Hostname IP OS
server.example.com 192.168.188.220 Oracle Linux R8

LDAP系统账户

经过多次尝试,似乎启用TLS一定要用非root帐号的系统账户来进行授权方可,这一点可以仿照CentOS7系统yum安装一样,创建一个专用账户:

useradd -r -M -d /var/lib/openldap -c "OpenLDAP Account" -u 55 -s /usr/sbin/nologin ldap

再再再……次安装

依赖软件

启用TLS的依赖,实际上只需要多一下 openssl 相关软件包即可:

yum install openssl openssl-devel -y

编译及安装

./configure --prefix=/usr --sysconfdir=/etc \
--enable-debug --enable-dynamic --enable-syslog --enable-rlookups \
--enable-slapd --enable-crypt --enable-spasswd --enable-modules \
--enable-overlays=mod \
--with-cyrus-sasl --with-tls=openssl
# 安装
make depend
make
make install

相比之前的编译配置,此次做了如下几处微调:

  • --prefix 以及 --sysconfdir 重新指定了安装后的位置,省的后面再添加 PATH 路径;
  • 改用了 --enable-overlays 来启用所有的模块,模块安装后的位置在:/usr/libexec/openldap;
  • 通过 --with-tls=openssl 来指定提供TLS的组件名称。

创建数据目录

mkdir /var/lib/openldap /etc/openldap/slapd.d
# 设置目录权限
chown -R ldap:ldap /var/lib/openldap
chown root:ldap /etc/openldap/slapd.conf
chmod 640 /etc/openldap/slapd.conf

chown -R ldap:ldap /etc/openldap/slapd.d

创建系统守护进程

编辑服务文件

# vim /etc/systemd/system/slapd.service

[Unit]
Description=OpenLDAP Server Daemon
After=syslog.target network-online.target
Documentation=man:slapd
Documentation=man:slapd-mdb

[Service]
Type=forking
PIDFile=/var/lib/openldap/slapd.pid
Environment="SLAPD_URLS=ldap:/// ldapi:/// ldaps:///"
Environment="SLAPD_OPTIONS=-F /etc/openldap/slapd.d"
ExecStart=/usr/libexec/slapd -u ldap -g ldap -h ${SLAPD_URLS} $SLAPD_OPTIONS

[Install]
WantedBy=multi-user.target

启用守护进程

systemctl daemon-reload

systemctl enable --now slapd

systemctl status slapd

启用证书

此处是一个天坑,,,目前网上能搜到的信息,基本都是按照:生成CA密钥-->生成CA证书-->生成服务器密钥-->生成服务器证书。然而,这只适用于类 CentOS7 系统,在类 CentOS8 中,不需要生成CA密钥即证书!!! 仅就这一点差异,重新安装了不下10遍才实践出真正的缘由。

生成证书

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout \
/etc/pki/tls/ldapserver.key -out /etc/pki/tls/ldapserver.crt
# 修改权限
chown ldap:ldap /etc/pki/tls/{ldapserver.crt,ldapserver.key}

在这一步生成证书的过程中,有些文档提到过CN一定要和服务器名称一致,但是在实测中也确实没有测试过不一致,是不是真的会出问题。

配置文件

此处用服务器证书自身做为CA证书。

# cat add-tls.ldif
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/pki/tls/ldapserver.crt
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/pki/tls/ldapserver.key
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/pki/tls/ldapserver.crt

导入配置

ldapadd -Y EXTERNAL -H ldapi:/// -f add-tls.ldif
slapcat -b "cn=config" | grep olcTLS

客户端配置

# vim /etc/openldap/ldap.conf
TLS_CACERT     /etc/pki/tls/ldapserver.crt

验证配置成功最简单的方式,就是在查询时添加 -Z 或者 -ZZ 参数来指定通过 ldaps 协议访问,例如:

ldapsearch -x -ZZ

参考资料

posted @ 2022-05-19 08:41  雨帝夜泪  阅读(565)  评论(0编辑  收藏  举报