openldap tls认证搭建

基础环境：

centos7.6   openldap2.4.44

1、安装包

yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools

2、拷贝配置文件

cp /usr/share/openldap-servers/slapd.ldif ./

3、生成密码

#slappasswd -s '123456'

{SSHA}y/OVMk/cq6mZlYfoRuXa0jPSBYhBrf4H

4、生成公私钥

• 创建私钥

openssl genrsa -out server.key

• 生成签名请求

openssl req -new -key server.key -out server.csr

• 生成公钥

openssl x509 -req -days 1095 -in server.csr -signkey server.key -out server.crt

5、修改权限

cd /etc/openldap/certs && chown -R ldap. *

6、修改slapd.ldif配置文件

#配置证书

olcTLSCACertificatePath: /etc/openldap/certs

olcTLSCertificateFile: /etc/openldap/certs/server.crt

olcTLSCertificateKeyFile: /etc/openldap/certs/server.key

#日志

olcLogLevel: 32

#修改域名

olcSuffix: dc=admin,dc=com

#配置密码

olcRootPW: {SSHA}y/OVMk/cq6mZlYfoRuXa0jPSBYhBrf4H

7、生成配置文件

rm -rf slapd.d/*

slapadd -v -F /etc/openldap/slapd.d/ -l slapd.ldif -n 0

8、修改权限

chown -R ldap. slapd.*

9、修改配置文件

vim /etc/sysconfig/slapd

SLAPD_URLS="ldapi:/// ldap:/// ldaps:///"

10、启动服务

systemctl restart slapd

11、导入表

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

12、修改生成ldif文件的配置文件

vim /usr/share/migrationtools/migrate_common.ph

$DEFAULT_MAIL_DOMAIN = "admin.com";

$DEFAULT_BASE = "dc=admin,dc=com";

$EXTENDED_SCHEMA = 1;

13、导出基本表：

/usr/share/migrationtools/migrate_base.pl > base.ldif

14、导入基本表：

ldapadd -x -D "cn=Manager,dc=admin,dc=com" -w 123456 -f base.ldif

15、生成用户和用户组的配置文件

groupadd -g 2000 ldapadmin

useradd -g 2000 -u 1100 first

grep first /etc/passwd > user

grep ldapadmin /etc/group > group

/usr/share/migrationtools/migrate_passwd.pl user > user.ldif

用户密码用slappasswd -s 'password' 生成之后，不能用之前的

/usr/share/migrationtools/migrate_group.pl group > group.ldif

ldapadd -x -D "cn=Manager,dc=admin,dc=com" -w 123456 -f group.ldif

ldapadd -x -D "cn=Manager,dc=admin,dc=com" -w 123456 -f user.ldif

 

验证用户密码：

ldapwhoami -D "cn=Manager,dc=team,dc=com" -W -H ldaps://192.168.100.5 -v

查询用户：

ldapsearch -x -LLL uid

注：

1、报错通过journalctl -xe看日志