红帽目录服务使用tls证书保证数据加密
2011-09-17 15:49
309 查看
实验之前的诚恳话语
1.默认情况下redhat-ds允许匿名去读取目录服务里面的数据
2.匿名访问是不要任何用户名和密码的
3.simple bind简单认证意指客户端只要输入用户名和密码给目录服务,然后目录服务把从客户端传过来的用户名(dn)和密码与自己的ldif数据库对比,一致就通过,不一致就拒绝。关键问题是simple bind在传送用户名和密码过程中是明文的有安全隐患,而且只要用户名和密码就能证明你的合法性了吗?却有些简单了。
4.针对上述问题提出了两种方法
*使用证书即tls(ssl)加密你的用户名(dn)和密码在网络传输给目录服务做认证的过程中。也加密了你查询到的数据。
*使用SASL即kerberos
5.可以使用图像化安装证书也可以使用命令行
安装ca中心证书
certutil –d /etc/dirsrv/实例名 –A –i ca-certificate.crt的路径 -n 证书的显示名 -t CT,CT,CT
安装服务器证书
certutil –d /etc/dirsrv/实例名 –A –i server-certificate.crt的路径 -n 证书的显示名 -t u,u,u
诚恳的话语讲完了,我们可以试验了,不好意思啰啰嗦嗦的了。
步骤一:建立自签名证书
当前目录在station9.example.com这台CA上的/etc/pki/CA操作
vim /etc/pki/tls/openssl.cnf
根据配置文件建立这些目录和文件以支撑证书中心的记录
生成ca中心的密钥
生成ca中心的公钥
步骤二:目录服务器申请证书
当前操作在server109.example.com这台目录服务控制台上操作
服务器利用redhat-ds生成证书请求文件
步骤三:ca中心给目录服务器证书请求签发证书
回到station9.example.com这个ca中心上操作了
步骤四:目录服务器下载并安装证书
回到server109.example.com目录服务上操作了
下载server109.crt和my-ca.crt这两个证书
在redhat-ds控制台中安目录服务器证书
在安装ca中心证书到目录服务器中
步骤五:开启tls加密功能
开始启用证书ssl加密
点击save按钮
提示你tls加密使用636端口,平常使用389端口
重新启动dirsrv目录服务
可是当服务器重新后到加载dirsrv目录服务时也需要输入这个密码,这个多少有些麻烦,可以在一个文件中先吧密码保存好,服务启动后直接找这个文件要密码就ok了
vim /etc/dirsrv/实例名/pin.txt
设置开机自动加载
当你重启服务的时候很有可能发生服务启动失败主要有几种情况
1.服务器和ca中心的时间不同步,或者不再一个时区,会提示你服务器证书安装成功但是过期。
net time -S 目标时间服务器
2.上述的两个勾选“信任客户机”“信任其他服务器”没选中,否则提示你证书安装成功但是不被信任的用户。
3.启动不成功将无法再次连接dirsrv目录服务,你可以vim /etc/dirsrv/实例名/dse.ldif找到
nsSSLActivation: off
nsslapd-security: off
然后再次重新启动就不会提示你输入保护私钥的密码,也就是说属于开389端口启动。进入证书管理界面删除服务器证书和ca证书即可。
步骤六:客户端验证之字符界面
接下来我们要进行客户端验证了
我们用authconfig-tui来把让客户端启用LDAP方式的身份验证
#authconfig-tui
当你选择了Use LDAP后提示你没有nss模块,啥也不说了直接yum install nss*即可
那现在就把ca中心的证书拷贝到指定的目录
cp my-ca.crt /etc/openldap/cacerts
其实我们刚刚的操作都写在/etc/openldap/ldap.conf中了
现在你依然可以用匿名身份查询到并且你也可以使用不加密的形式来得到数据,但最好还是用加密的方式从目录服务得到数据和传输用户名和口令给目录服务做身份验证。
ldapsearch –x -ZZ
这条命令就可以得到结果了,你感觉和ldapsearch -x得到的结果没有区别。是得,只不过在潜移默化中你得到的数据已经被tls加密了。这两条命令结果之间的区别只有依靠抓包分析软件来证明了。
步骤七:客户端验证之邮件雷鸟
本文出自 “失败只是暂时停止了成..” 博客,请务必保留此出处http://linuxsafe.blog.51cto.com/438124/667181
1.默认情况下redhat-ds允许匿名去读取目录服务里面的数据
2.匿名访问是不要任何用户名和密码的
3.simple bind简单认证意指客户端只要输入用户名和密码给目录服务,然后目录服务把从客户端传过来的用户名(dn)和密码与自己的ldif数据库对比,一致就通过,不一致就拒绝。关键问题是simple bind在传送用户名和密码过程中是明文的有安全隐患,而且只要用户名和密码就能证明你的合法性了吗?却有些简单了。
4.针对上述问题提出了两种方法
*使用证书即tls(ssl)加密你的用户名(dn)和密码在网络传输给目录服务做认证的过程中。也加密了你查询到的数据。
*使用SASL即kerberos
5.可以使用图像化安装证书也可以使用命令行
安装ca中心证书
certutil –d /etc/dirsrv/实例名 –A –i ca-certificate.crt的路径 -n 证书的显示名 -t CT,CT,CT
安装服务器证书
certutil –d /etc/dirsrv/实例名 –A –i server-certificate.crt的路径 -n 证书的显示名 -t u,u,u
诚恳的话语讲完了,我们可以试验了,不好意思啰啰嗦嗦的了。
步骤一:建立自签名证书
当前目录在station9.example.com这台CA上的/etc/pki/CA操作
vim /etc/pki/tls/openssl.cnf
根据配置文件建立这些目录和文件以支撑证书中心的记录
生成ca中心的密钥
生成ca中心的公钥
步骤二:目录服务器申请证书
当前操作在server109.example.com这台目录服务控制台上操作
服务器利用redhat-ds生成证书请求文件
步骤三:ca中心给目录服务器证书请求签发证书
回到station9.example.com这个ca中心上操作了
步骤四:目录服务器下载并安装证书
回到server109.example.com目录服务上操作了
下载server109.crt和my-ca.crt这两个证书
在redhat-ds控制台中安目录服务器证书
在安装ca中心证书到目录服务器中
步骤五:开启tls加密功能
开始启用证书ssl加密
点击save按钮
提示你tls加密使用636端口,平常使用389端口
重新启动dirsrv目录服务
可是当服务器重新后到加载dirsrv目录服务时也需要输入这个密码,这个多少有些麻烦,可以在一个文件中先吧密码保存好,服务启动后直接找这个文件要密码就ok了
vim /etc/dirsrv/实例名/pin.txt
设置开机自动加载
当你重启服务的时候很有可能发生服务启动失败主要有几种情况
1.服务器和ca中心的时间不同步,或者不再一个时区,会提示你服务器证书安装成功但是过期。
net time -S 目标时间服务器
2.上述的两个勾选“信任客户机”“信任其他服务器”没选中,否则提示你证书安装成功但是不被信任的用户。
3.启动不成功将无法再次连接dirsrv目录服务,你可以vim /etc/dirsrv/实例名/dse.ldif找到
nsSSLActivation: off
nsslapd-security: off
然后再次重新启动就不会提示你输入保护私钥的密码,也就是说属于开389端口启动。进入证书管理界面删除服务器证书和ca证书即可。
步骤六:客户端验证之字符界面
接下来我们要进行客户端验证了
我们用authconfig-tui来把让客户端启用LDAP方式的身份验证
#authconfig-tui
当你选择了Use LDAP后提示你没有nss模块,啥也不说了直接yum install nss*即可
那现在就把ca中心的证书拷贝到指定的目录
cp my-ca.crt /etc/openldap/cacerts
其实我们刚刚的操作都写在/etc/openldap/ldap.conf中了
现在你依然可以用匿名身份查询到并且你也可以使用不加密的形式来得到数据,但最好还是用加密的方式从目录服务得到数据和传输用户名和口令给目录服务做身份验证。
ldapsearch –x -ZZ
这条命令就可以得到结果了,你感觉和ldapsearch -x得到的结果没有区别。是得,只不过在潜移默化中你得到的数据已经被tls加密了。这两条命令结果之间的区别只有依靠抓包分析软件来证明了。
步骤七:客户端验证之邮件雷鸟
本文出自 “失败只是暂时停止了成..” 博客,请务必保留此出处http://linuxsafe.blog.51cto.com/438124/667181
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 保证使用 ASP.NET 创建的 XML Web 服务的安全
- 使用pip安装包提示TLS证书错误解决办法
- 在Linux下使用samba来mount Windows文件共享服务共享的目录
- .NET Core下使用gRpc公开服务(SSL/TLS)
- 使用 Windows CardSpace 保证您的 ASP.NET 应用程序和 WCF 服务的安全
- 红帽目录服务的数据导入导出
- 使用JNDI来访问命名服务或者目录服务
- Ubuntu Apcahe服务虚拟目录的配置 phpmyadmin的架设使用
- 如何使用来自 ASP.NET 的客户端证书调用 Web 服务
- 使用消息系统进行微服务间通讯时,如何保证数据一致性
- Mosquito使用SSL/TLS进行安全通信时的使用方法 ------生成和发布证书openssl
- 使用目录服务和 Visual C# .NET 向本地系统添加用户
- .NET Core下使用gRpc公开服务(SSL/TLS)
- NFS服务意外断开,导致挂载的客户端“df -Th”命令无法使用,及挂载目录无法“cd”“ls”
- 使用TLS安全的访问Minio服务
- 红帽目录服务的基本客户端工具
- 使用目录服务和 Visual C# .NET 向本地系统添加用户
- 使用自签名证书配置TLS搭建安全的Docker本地私有库
- centos7/6.9 docker-ce-17/1.7.1使用证书登陆(openssl tls)
- 使用ADSI开发NT目录服务会出现的一些问题及解决办法