Openldap 整合windows AD认证
|
Openldap 整合windows AD认证 I.解决的问题2 II.流程图2 III.具体配置3 A.检查Openldap3 B.Saslauthd安装配置3 1.安装3 2.【可选】先熟悉、测试sasl本身3 3.配置sasl关联到ad域3 C.配置openldap使用Saslauthd4 IV.配置SSL/TLS支持5 A.Windows ad 启用TLS5 4.导出windows 证书,并配置给ldapsearch6 5.可能需要修改/etc/hosts6 C.Openldap配置TLS7 D.概念总结7 V.后续小问题8 Openldap是开源的目录服务实现,windows AD是微软的目录服务现实。现状是有的场景(应用、客户端)跟openldap结合比较容易,有的场景又是必须要用AD,所以几乎不可能弃用其中的任意一种。但同时维护两套系统意味着维护工作大量增加(不仅仅只是增加一倍,要考虑信息分别维护、同步etc等)、出错几率增加。 其中的一种较成熟、使用比较多的解决方案是:openldap使用windows AD的认证,这样只需要在AD上维护一套用户密码即可。 II.流程图 如图,相关组件分四大部分: 1.LDAP client ;这个是实际调用ldap服务的系统,也可以是类似ldapsearch之类的client 程序 2.Openldap; 开源服务端,实际进程为slapd 3.Saslauthd;简单认证服务层的守护进程,该进程要安装在openldap服务器上 III.具体配置 A.检查Openldap 检查openldap安装时是否有编译参数 ./configure --enable-spasswd;如没有需要重新编译,否则不支持之后形如 userPassword: {SASL}user@domain的语法配置 Openldap的安装本文不再详细介绍 B.Saslauthd安装配置 1.安装 yum install cyrus-sasl 通过命令可查看 [root@localhost ~]# rpm -ql cyrus-sasl|grep bin /usr/sbin/pluginviewer /usr/sbin/saslauthd #守护进程,主程序 /usr/sbin/testsaslauthd #测试程序 [root@localhost ~]# rpm -ql cyrus-sasl|grep etc /etc/rc.d/init.d/saslauthd #启动脚本 /etc/sysconfig/saslauthd #配置文件,conf 2.【可选】先熟悉、测试sasl本身 比如 adduser blake ; passwd blake #增加一个linux系统测试账号,设置密码 配置saslauthd使用shadow认证 编辑 /etc/sysconfig/saslauthd,修改使 MECH=shadow一行 启动saslauthd进程,service saslauthd start 测试testsaslauthd -u blake -p 密码 这里如密码正确应该出现认证成功,密码错误则失败,到这里可理解sasl本身OK的。后续配置还会用 testsaslauthd 程序测试、调试。验证OK后可删除用户。 3.配置sasl关联到ad域 【可选】先用ldap客户端测一下windowad域是否可用,用户密码是否正确,比如 ldapsearch -x -H ldap://192.168.0.101 -D "CN=administrator,CN=Users,DC=test,DC=com" -w 密码 -b "DC=test,DC=com" 这个命令ldapsearch是客户端程序,IP地址是windows AD的地址,-x参数表示简单认证,-D参数后面的一串是AD里的用户DN,其中DC=test是AD域的域名,-w后面跟密码,-b指base DN。 这个命令要成功输出东西,否则就是ldap服务器连windows AD出问题,需检查网络、用户、密码、DN等等。 下面配置sasl访问ad,再次修改 vi /etc/sysconfig/saslauthd,修改两行:MECH=ldap FLAGS="-O /etc/saslauthd2ad.conf" 然后新建一个 /etc/saslauthd2ad.conf ,写入下面内容 /etc/saslauthd2ad.conf ldap_servers: ldap://192.168.0.101 ldap_search_base: CN=Users,DC=com ldap_timeout: 10 ldap_filter: sAMAccountName=%U ldap_bind_dn: CN=administrator,DC=com ldap_password: password ldap_deref: never ldap_restart: yes ldap_scope: sub ldap_use_sasl: no ldap_start_tls: no ldap_version: 3 ldap_auth_method: bind 该文件的主要参数: ldap_servers: LDAP URI,windowsAD地址 ldap_bind_dn: DN for connection ,一个windows AD用户的DN,实际不需要admin的 ldap_password: Password for connection,密码 ldap_search_base: Search base ldap_filter: Search filter ,%U 表示user, %u 表示user@domain 重启服务service saslauthd restart 测试testsaslauthd -u administrator -p 密码 ,这里就是使用AD域的用户-密码认证了,并不只是写到配置文件里面的administrator,而是所有AD用户都已经可以用testsaslauthd程序测试验证。可进一步AD里面加用户、或改密码测试。需注意AD修改密码,老密码依然可用5分钟。如验证不通过检查 sasl的配置。 C.配置openldap使用Saslauthd 修改openldap的配置文件 /etc/openldap/slapd.conf加入 sasl-host localhost sasl-secprops none 这两行配置是告诉openldap使用本机的sasl 再修改/新建sasl的配置文件,vi /etc/sasl2/slapd.conf mech_list: plain pwcheck_method: saslauthd saslauthd_path: /var/run/saslauthd/mux 这个配置文件相当于sasl的前端,意思是来自于slapd的请求,让saslauthd接手处理。注意这两个配置文件文件名是相同的,但却是不同软件包的配置文件。如果slapd是用非root的OS用户启动的,那还要将用户加到组里。 usermod -a -G sasl ldap 最后修改openldap里面的用户配置,比如在openldap里新建用户blake,设置userpassword: {SASL}blake,这样openldap就会讲用户blake转发给sasl程序认证,而sasl又会进一步转发给windows AD,至此配置完成。 最终测试: ldapsearch -w 密码1 -H ldap://192.168.0.107 -D "cn=blake,ou=users,dc=saybot,dc=com" -b "cn=blake,ou =users,dc=com" 这个测试命令,blake用户在openldap和windows AD上都存在,IP是本机openldap的IP,DN,查询DN也都是openldap的信息,但是密码却是在windows AD上管理的。如成功,到windows AD上修改用户密码,用新密码验证,再等5分钟,旧密码失效。到此配置完成。 IV.配置SSL 前面的配置有一个安全问题。这样配置下来密码从openldap到windows AD只是明文传输。如果不是在内网、或有×××保护,就有可能被截取。并且,openldap 到 windows AD 之间其实是会传输两个用户名/密码。一个是配置在saslauthd 里面的的用户,一个是真正连入openldap的认证用户。 /TLS支持 前面的配置有一个安全问题。这样配置下来密码从openldap到windows AD只是明文传输。如果不是在内网、或有×××保护,就有可能被截取。并且,openldap 到 windows AD 之间其实是会传输两个用户名/密码。一个是配置在saslauthd 里面的的用户,一个是真正连入openldap的认证用户。 file0002.jpg 一次认证,可截获2个用户名/密码,都是明文 解决方案有这么几种: ?外层网络层加密,比如×××隧道 ?使用windows安全认证如NTLM 、Kerberos ?启用SSL/TLS镶套协议 本文采用TLS方案 D.Windowsad启用TLS Windows AD启用TLS支持需要先安装证书服务,即 AD CS,建议在功能里面安装相关管理工具。安装完成后执行 certutil -dcinfo verify ,再用ldp.exe程序本地验证。 通过后在用ldapsearch远程验证。这个有几个注意点,过程如下: 4.导出windows证书,并配置给ldapsearch windows的证书导出如图: 一次认证,可截获2个用户名/密码,都是明文 解决方案有这么几种: ?外层网络层加密,比如×××隧道 ?使用windows安全认证如NTLM 、Kerberos ?启用SSL/TLS镶套协议 本文采用TLS方案 D.Windowsad启用TLS Windows AD启用TLS支持需要先安装证书服务,即 AD CS,建议在功能里面安装相关管理工具。安装完成后执行 certutil -dcinfo verify ,再用ldp.exe程序本地验证。 通过后在用ldapsearch远程验证。这个有几个注意点,过程如下: 4.导出windows证书,并配置给ldapsearch windows的证书导出如图: 讲导出的文件传到ldapsearch所在服务器 修改配置文件(ldap客户端配置文件和openldap客户端配置文件是不同的) /usr/local/openldap2.4/etc/openldap/ldap.conf 加入 TLS_CACERT /etc/openldap/certs/ca2.crt 5.可能需要修改/etc/hosts 192.168.0.101 WIN-QLMQQENMPLO.test.com 因为会验证主机名是否与证书里的字段匹配,所以不能用ip地址访问 测试命令: ldapsearch -x -H ldaps://WIN-QLMQQENMPLO.test.com -D "CN=blake,DC=com" -w 密码 -b "CN=administrator,DC=com" 注意连接协议是ldaps,默认636端口,不再是ldap 这里OK了再继续。否则后面也容易出问题 E.Sasl配置TLS 修改配置文件/etc/saslauthd2ad.conf [root@localhost log]# cat /etc/saslauthd2ad.conf ldap_servers: ldaps://WIN-QLMQQENMPLO.test.com/ ldap_search_base: CN=Users,DC=com ldap_filter: sAMAccountName=%U ldap_bind_dn: CN=administrator,DC=com ldap_password: 密码 ldap_tls_cacert_file: /etc/openldap/certs/ca-test.cer 这里和前面的配置有2点不同,一是协议变为ldaps,而是最后一行指定了证书。就是前面从windows导出的证书。这里的逻辑是:自签名的ssl/tls证书,ldaps要求把自签名用到的ca证书配置给客户端。Ldapsearch程序修改ldap.conf文件,sasl则修改本文件。 使用testsaslauthd -u administrator -p 密码 命令验证 F.Openldap配置TLS Openldap服务端也可以配置TLS,配置文件是slapd.conf 比如 /usr/local/openldap2.4/etc/openldap/slapd.conf 增加3行 TLSCACertificateFile /etc/openldap/certs/ca.crt TLSCertificateFile /etc/openldap/certs/ldap.crt TLSCertificateKeyFile /etc/openldap/certs/ldap.key.pem 这里第一行是自签名用到的ca证书(可以不是本机,可以用前面的windows服务器来签证书),第二行是本机服务器证书,第三行是本机服务器证书密钥。证书的概念这里不详细讲解。 之后,用命令开启TLSslapd -4 -h "ldap:/// ldaps:///" 特别注意,这里要验证openldapTLS的话又比较麻烦 可以先openssl s_client -connect localhost:636看一下证书对不对 然后配置ldapsearch 1.合并证书,即ldap.conf 配置文件里面,TLS_CACERT 参数指定的文件,直接用cat命令讲两个ca证书合并(一个是前面windows的,一个是签发给openldap的) 2.修改/etc/hosts 192.168.0.107 ldap 测试验证命令:ldapsearch -w 密码 -H ldaps://ldap -D "cn=blake,dc=com" G.概念总结 TLS的配置整体比较麻烦,把握以下概念: ?Ldap协议是389端口,明文;TLS加密后协议是ldaps ,636端口 ?Windowsad开启ldaps(TLS)安装活动目录证书(AD CS)服务 ?证书有2种,1是服务器证书,2是签发服务器证书的ca证书 ?自签名的情况下,客户端需要额外配置ca证书(第二种) (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |