-
拷贝默认配置文件并修改权限
-
生成配置文件中 rootpw 项的密码(注意:密码改为自己想设的密码)
-
修改配置文件 /etc/openldap/slapd.conf 并按如下说明修改相应的配置项
-
配置完成后生成数据库
需要注意的是, 在 slaptest 命令生成的文件为 root用户所有 , 需要用 chown 命令修改其属主(正常是ldap), 然后再重启 slapd 服务
可以借助开源工具 migrationtools 将已有的 用户、密码以及用户组添加到openldap中。具体方式如下:
先安装工具
根据实际域名,修改 /usr/share/migrationtools/migrate_common.ph 配置文件中的如下字段
使用工具 migrate_base.pl 生成根域条目并导入到OpenLDAP中:
输入前面设置的 admin 密码即可将根域条目导入。
默认情况下, OpenLDAP 服务端与客户端之间使用明文进行验证、查询等操作。 由于互联网上数据传输存在不安全的因素, 所以需要配置OpenLDAP来支持加密传输数据。
自己创建 CA 证书的基本步骤如下:
-
安装 openssl 软件
-
CA中心生成自身的密钥
为了保证密钥安全, 需要将其权限设置为 700, 所以用 umask 077 修改mask值
- CA 签发自身公钥
-days 36500 设置证书的有效期时长, 这里设置100年, 证书到期会导致服务不可用,所以时间尽量的长一些。
其中以下字段需要根据实际情况填写:
- 创建数据库文件及证书序列文件
以上操作都是在路径 /etc/pki/CA 下进行
- 创建 OpenLDAP key 存放路径
并在该路径下生成以下密钥
-
OpenLDAP 服务端密钥生成
-
OpenLDAP 服务端向CA申请签署请求
根据前面 CA 签发自身密钥的输入信息,填入下面的字段
除 Common Name 、 Email Address 外,其他值必须和CA前面的信息保持一致, 否则无法得到验证。
-
CA核实并签发证书
-
复制 cacert.pem 到该目录
-
修改证书及目录权限
-
修改 OpenLDAP 配置文件, 添加证书配置
修改配置文件 /etc/openldap/slapd.conf 中的下列配置项
-
开启 OpenLDAP SSL功能
修改配置文件 /etc/sysconfig/ldap 中的下列配置项 -
加载slapd数据库文件
-
确认当前套接字是否通过CA 验证
Original: https://www.cnblogs.com/276815076/p/16374899.html
Author: 生活费
Title: OpenLDAP 服务端配置(一): 基本配置
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/543847/
转载文章受原作者版权保护。转载请注明原作者出处!