服务器修改

首先配置服务器只能本地非加密访问,远程访问必须通过SSL,修改文件/etc/default/slapd:

SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:/// ldapi:///"

StartSSL获取相应的Web Server SSL/TLS Certificate证书,并下载StartCom Class1服务器根证书,保存在/etc/ssl/ldap目录中。

生成LDIF配置文件并导入

root@server0:/tmp# cat olcSSL.ldif
dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/ldap/sub.class1.server.ca.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/ldap/ldap-key.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/ldap/ldap-cert.pem
root@server0:/tmp# ldapmodify -Y EXTERNAL -H ldapi:/// -f ./olcSSL.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"

为保证密匙安全,Debian中推荐将密匙修改成用户组root:ssl-cert,并设置权限640,将openldap用户加入组ssl-cert

usermod -a -G ssl-cert openldap

重启slapd服务,此时外部即可且只能通过SSL连接OpenLDAP服务器。

###客户端配置

修改LDAP Admin中配置文件,使用SSL连接,并且Host设置成域名。

参考文献

  1. LDAP OpenLDAPSetup
文章目录
  1. 1. 服务器修改
  2. 2. 参考文献