Linux 安装并配置 OpenLDAP 新编(8)启用TLS
Linux 安装并配置 OpenLDAP 新编(8)启用TLS
原本并不想继续深入了,随便搭建个环境能用即可。后来又觉得已经研究了个5成,至少搞定了TLS达到及格线的水平。于是经过数天无数次的重装、重置,无数次反复的失败,终于摸索出了在类 CentOS8 系统中编译安装 OpenLDAP,并启用 TLS 的方法。
准备工作
环境设定
目前测试服务器的信息如下:
域名/Hostname | IP | OS |
---|---|---|
server.example.com | 192.168.188.220 | Oracle Linux R8 |
LDAP系统账户
经过多次尝试,似乎启用TLS一定要用非root帐号的系统账户来进行授权方可,这一点可以仿照CentOS7系统yum安装一样,创建一个专用账户:
useradd -r -M -d /var/lib/openldap -c "OpenLDAP Account" -u 55 -s /usr/sbin/nologin ldap
再再再……次安装
依赖软件
启用TLS的依赖,实际上只需要多一下 openssl 相关软件包即可:
yum install openssl openssl-devel -y
编译及安装
./configure --prefix=/usr --sysconfdir=/etc \
--enable-debug --enable-dynamic --enable-syslog --enable-rlookups \
--enable-slapd --enable-crypt --enable-spasswd --enable-modules \
--enable-overlays=mod \
--with-cyrus-sasl --with-tls=openssl
# 安装
make depend
make
make install
相比之前的编译配置,此次做了如下几处微调:
- --prefix 以及 --sysconfdir 重新指定了安装后的位置,省的后面再添加 PATH 路径;
- 改用了 --enable-overlays 来启用所有的模块,模块安装后的位置在:/usr/libexec/openldap;
- 通过 --with-tls=openssl 来指定提供TLS的组件名称。
创建数据目录
mkdir /var/lib/openldap /etc/openldap/slapd.d
# 设置目录权限
chown -R ldap:ldap /var/lib/openldap
chown root:ldap /etc/openldap/slapd.conf
chmod 640 /etc/openldap/slapd.conf
chown -R ldap:ldap /etc/openldap/slapd.d
创建系统守护进程
编辑服务文件
# vim /etc/systemd/system/slapd.service
[Unit]
Description=OpenLDAP Server Daemon
After=syslog.target network-online.target
Documentation=man:slapd
Documentation=man:slapd-mdb
[Service]
Type=forking
PIDFile=/var/lib/openldap/slapd.pid
Environment="SLAPD_URLS=ldap:/// ldapi:/// ldaps:///"
Environment="SLAPD_OPTIONS=-F /etc/openldap/slapd.d"
ExecStart=/usr/libexec/slapd -u ldap -g ldap -h ${SLAPD_URLS} $SLAPD_OPTIONS
[Install]
WantedBy=multi-user.target
启用守护进程
systemctl daemon-reload
systemctl enable --now slapd
systemctl status slapd
启用证书
此处是一个天坑,,,目前网上能搜到的信息,基本都是按照:生成CA密钥-->生成CA证书-->生成服务器密钥-->生成服务器证书。然而,这只适用于类 CentOS7 系统,在类 CentOS8 中,不需要生成CA密钥即证书!!! 仅就这一点差异,重新安装了不下10遍才实践出真正的缘由。
生成证书
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout \
/etc/pki/tls/ldapserver.key -out /etc/pki/tls/ldapserver.crt
# 修改权限
chown ldap:ldap /etc/pki/tls/{ldapserver.crt,ldapserver.key}
在这一步生成证书的过程中,有些文档提到过CN一定要和服务器名称一致,但是在实测中也确实没有测试过不一致,是不是真的会出问题。
配置文件
此处用服务器证书自身做为CA证书。
# cat add-tls.ldif
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/pki/tls/ldapserver.crt
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/pki/tls/ldapserver.key
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/pki/tls/ldapserver.crt
导入配置
ldapadd -Y EXTERNAL -H ldapi:/// -f add-tls.ldif
slapcat -b "cn=config" | grep olcTLS
客户端配置
# vim /etc/openldap/ldap.conf
TLS_CACERT /etc/pki/tls/ldapserver.crt
验证配置成功最简单的方式,就是在查询时添加 -Z 或者 -ZZ 参数来指定通过 ldaps 协议访问,例如:
ldapsearch -x -ZZ
参考资料
曾经我以为我是个程序员攻城狮,,现在我发现,必须要要前面加上“广告公司”四字。