Linux 安装并配置 OpenLDAP 新编（8）启用TLS

Linux 安装并配置 OpenLDAP 新编（8）启用TLS

原本并不想继续深入了，随便搭建个环境能用即可。后来又觉得已经研究了个5成，至少搞定了TLS达到及格线的水平。于是经过数天无数次的重装、重置，无数次反复的失败，终于摸索出了在类 CentOS8 系统中编译安装 OpenLDAP，并启用 TLS 的方法。

准备工作

环境设定

目前测试服务器的信息如下：

LDAP系统账户

经过多次尝试，似乎启用TLS一定要用非root帐号的系统账户来进行授权方可，这一点可以仿照CentOS7系统yum安装一样，创建一个专用账户：

useradd -r -M -d /var/lib/openldap -c "OpenLDAP Account" -u 55 -s /usr/sbin/nologin ldap

再再再……次安装

依赖软件

启用TLS的依赖，实际上只需要多一下 openssl 相关软件包即可：

yum install openssl openssl-devel -y

编译及安装

./configure --prefix=/usr --sysconfdir=/etc \--enable-debug --enable-dynamic --enable-syslog --enable-rlookups \--enable-slapd --enable-crypt --enable-spasswd --enable-modules \--enable-overlays=mod \--with-cyrus-sasl --with-tls=openssl# 安装make dependmakemake install

相比之前的编译配置，此次做了如下几处微调：

• --prefix 以及 --sysconfdir 重新指定了安装后的位置，省的后面再添加 PATH 路径；
• 改用了 --enable-overlays 来启用所有的模块，模块安装后的位置在：/usr/libexec/openldap；
• 通过 --with-tls=openssl 来指定提供TLS的组件名称。

创建数据目录

mkdir /var/lib/openldap /etc/openldap/slapd.d# 设置目录权限chown -R ldap:ldap /var/lib/openldapchown root:ldap /etc/openldap/slapd.confchmod 640 /etc/openldap/slapd.confchown -R ldap:ldap /etc/openldap/slapd.d

创建系统守护进程

编辑服务文件

# vim /etc/systemd/system/slapd.service[Unit]Description=OpenLDAP Server DaemonAfter=syslog.target network-online.targetDocumentation=man:slapdDocumentation=man:slapd-mdb[Service]Type=forkingPIDFile=/var/lib/openldap/slapd.pidEnvironment="SLAPD_URLS=ldap:/// ldapi:/// ldaps:///"Environment="SLAPD_OPTIONS=-F /etc/openldap/slapd.d"ExecStart=/usr/libexec/slapd -u ldap -g ldap -h ${SLAPD_URLS} $SLAPD_OPTIONS[Install]WantedBy=multi-user.target

启用守护进程

systemctl daemon-reloadsystemctl enable --now slapdsystemctl status slapd

启用证书

此处是一个天坑，，，目前网上能搜到的信息，基本都是按照：生成CA密钥-->生成CA证书-->生成服务器密钥-->生成服务器证书。然而，这只适用于类 CentOS7 系统，在类 CentOS8 中，不需要生成CA密钥即证书！！！ 仅就这一点差异，重新安装了不下10遍才实践出真正的缘由。

生成证书

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout \/etc/pki/tls/ldapserver.key -out /etc/pki/tls/ldapserver.crt# 修改权限chown ldap:ldap /etc/pki/tls/{ldapserver.crt,ldapserver.key}

在这一步生成证书的过程中，有些文档提到过CN一定要和服务器名称一致，但是在实测中也确实没有测试过不一致，是不是真的会出问题。

配置文件

此处用服务器证书自身做为CA证书。

# cat add-tls.ldifdn: cn=configchangetype: modifyadd: olcTLSCACertificateFileolcTLSCACertificateFile: /etc/pki/tls/ldapserver.crt-add: olcTLSCertificateKeyFileolcTLSCertificateKeyFile: /etc/pki/tls/ldapserver.key-add: olcTLSCertificateFileolcTLSCertificateFile: /etc/pki/tls/ldapserver.crt

导入配置

ldapadd -Y EXTERNAL -H ldapi:/// -f add-tls.ldifslapcat -b "cn=config" | grep olcTLS

客户端配置

# vim /etc/openldap/ldap.confTLS_CACERT     /etc/pki/tls/ldapserver.crt

验证配置成功最简单的方式，就是在查询时添加 -Z 或者 -ZZ 参数来指定通过 ldaps 协议访问，例如：

ldapsearch -x -ZZ

参考资料

• Simple steps to configure LDAPS with TLS certificates CentOS 7 Linux
• Install and Setup OpenLDAP on CentOS 8
• RedHat/CentOS8【OpenSSL】制作自签证书和 HTTPS 配置