让OpenLdap支持SSL/TLS

一、安装openldap

yum -y 请看留言吧e openldap


二、配置openldap

database        bdb

suffix          "dc=yunweibang,dc=com"

checkpoint      1024 15

rootdn          "cn=admin,dc=yunweibang,dc=com"

rootpw {SSHA}Xisbg6WvTNopMz3GaeeHbwAuXeqBTZ4G

#上面密码用slappasswd命令生成的


三、绑定域名到主机,编辑hosts

IP   ldap.yunweibang.com


四、创建CA

cd /etc/openldap/certs/

openssl genrsa -out ldap.key 1024

openssl req -new -key ldap.key -out ldap.csr


五、生成签名

openssl x509 -req -days 3650 -in ldap.csr -signkey ldap.key -out ldap.crt


六、设置权限

chmod 700 /etc/openldap/certs/

chown -R ldap.ldap /etc/openldap/certs/


七、编辑/etc/openldap/slapd.conf

添加

TLSCertificateFile  /etc/openldap/certs/ldap.crt

TLSCertificateKeyFile  /etc/openldap/certs/ldap.key

TLSVerifyClient never

 

八、编辑/etc/openldap/ldap.conf

添加

TLS_REQCERT allow

TLS_CERT /etc/openldap/certs/ldap.crt

TLS_KEY /etc/openldap/certs/ldap.crt

URI  ldaps://ldap.yunweibang.com

BASE dc=yunweibang,dc=com


九、重新生成配置,并重启服务

service slapd stop

rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

chown -R ldap.ldap /etc/openldap/slapd.d/ /var/lib/ldap/


十、默认同时启动ldap和ldaps,编辑/etc/sysconfig/ldap

SLAPD_LDAP=yes

SLAPD_LDAPI=no

SLAPD_LDAPS=yes


十一、启动并查看是否已经启动

service slapd restart

netstat -tnlp |grep 389

netstat -tnlp |grep 636


十二、验证服务

#ldapwhoami -v -x -Z

ldap_initialize( <DEFAULT> )

ldap_start_tls: Operations error (1)

        additional info: TLS already started

anonymous

Result: Success (0)


十三、java链接

方法一、用java的keytool工具把证书导入

keytool -import  -alias ldapserver -file /etc/openldap/certs/ldap.crt -keystore ldap.jks -keypass changeit -storepass changeit

java程序里指定keystore和密码即可,keystore写$JAVA_HOME/jre/lib/security/cacerts也可以


方法二、忽略证书,程序可以google一下


内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处: 让OpenLdap支持SSL/TLS