LDAP支持TLS协议,JAVA客户端支持

最新推荐文章于 2025-12-09 12:39:18 发布
原创 最新推荐文章于 2025-12-09 12:39:18 发布 · 630 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ldap #tls #java

本文档详细介绍了如何在服务端配置OpenLDAP以支持TLS加密传输,包括安装openssl,生成必要的证书和密钥,修改ldap配置,并验证配置。同时,提供了在Java客户端中导入和配置证书以支持LDAPS连接的步骤,包括创建PKCS12文件,导入密钥库,以及设置Java系统属性。最后,展示了通过netstat检查ldap服务状态和端口监听情况。

服务端支持ldap的tls加密传输

参考链接 https://www.golinuxcloud.com/configure-openldap-with-tls-certificates/

  • 安装openssl

      yum -y install openssl

  • 生成加密私钥

      openssl genrsa -des3 -out ca.key 2048

  • 生成CA证书

      openssl req -new -x509 -days 365 -key ca.key -out ca.cert.pem

  • 生成LDAP客户端密钥

      openssl genrsa -out ldap.client.key 2048

  • 创建证书签名请求(CSR)

      openssl req -new -key ldap.client.key -out ldap.client.csr

  • 创建LDAP客户端证书

      openssl x509 -req -in ldap.client.csr -CA ca.cert.pem -CAkey ca.key -out ldap.client.crt -CAcreateserial -days 365 -sha256 -extfile server_cert_ext.cnf

  • 验证客户端证书

      openssl x509  -noout -text -in ldap.client.crt

  • 拷贝证书到ldap路径

      cp -v ldap.client.crt ldap.client.key /etc/openldap/certs/
  mkdir /etc/openldap/cacerts/
  cp -v ca.cert.pem /etc/openldap/cacerts/

  • 查看ldap配置

      slapcat -b "cn=config" | egrep "olcTLSCertificateFile|olcTLSCertificateKeyFile"

  • 修改ldap配置
    vi tls7.ldif

      dn: cn=config
  changetype: modify
  replace: olcTLSCertificateFile
  olcTLSCertificateFile: /etc/openldap/certs/ldap.client.crt
  -
  replace: olcTLSCertificateKeyFile
  olcTLSCertificateKeyFile: /etc/openldap/certs/ldap.client.key

  • 加权限

     chmod 777 /etc/openldap/certs
 chmod 777 /etc/openldap/cacerts

  • 执行修改

     ldapmodify -Y EXTERNAL -H ldapi:// -f tls7.ldif

  • 修改ldap配置
    vi tls7_1.ldif

     dn: cn=config
 changetype: modify
 add: olcTLSCACertificateFile
 olcTLSCACertificateFile: /etc/openldap/cacerts/ca.cert.pem

  • 执行修改

     ldapmodify -Y EXTERNAL -H ldapi:// -f tls7_1.ldif

  • 查看ldap配置

      slapcat -b "cn=config" | egrep "olcTLSCertificateFile|olcTLSCertificateKeyFile|olcTLSCACertificateFile"

   输出下面代表配置无误:
   olcTLSCertificateFile: /etc/openldap/certs/ldap.client.crt
   olcTLSCertificateKeyFile: /etc/openldap/certs/ldap.client.key
   olcTLSCACertificateFile: /etc/openldap/cacerts/ca.cert.pem

  • 修改ldap配置文件,支持ldaps

       vi /etc/sysconfig/slapd
   SLAPD_URLS="ldapi:/// ldap:/// ldaps:///"

  • 修改ldap配置文件支持证书

       vi /etc/openldap/ldap.conf
   TLS_REQCERT allow
   TLS_CACERT /etc/openldap/cacerts/ca.cert.pem

  • 重启ldap

      systemctl restart slapd

  • 验证是否成功

      ldapsearch -x -ZZ
  
  输出下面代表配置完毕
  
  # extended LDIF
  #
  # LDAPv3
  # base <> (default) with scope subtree
  # filter: (objectclass=*)
  # requesting: ALL
  #
  
  # search result
  search: 3
  result: 32 No such object
  
  # numResponses: 1

  • 查看ldap启动服务,查看ldaps是否启动,ldaps使用的是636端口

     netstat -tunlp|grep slapd
 输出
 tcp        0      0 0.0.0.0:636             0.0.0.0:*               LISTEN      1138/slapd          
 tcp        0      0 0.0.0.0:389             0.0.0.0:*               LISTEN      1138/slapd          
 tcp6       0      0 :::636                  :::*                    LISTEN      1138/slapd          
 tcp6       0      0 :::389                  :::*                    LISTEN      1138/slapd

客户端 java支持ldaps

参考链接 https://support.google.com/cloudidentity/answer/9089736?hl=zh-Hans

  • 转换java密钥库格式

          linux或mac执行
      openssl pkcs12 -export -out java-application-ldap.pkcs12 -in ldap.client.crt -inkey ldap.client.key
      widows执行
      certutil -mergepfx ldap.example.crt ldap.pkcs12

  • 将证书导入密钥库

           keytool -v -importkeystore -srckeystore java-application-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore java-application-ldap.jks -deststoretype JKS

  • Java 属性的配置方式可能会因应用而有所不同。通常来说,您可以在用于启动应用的“java”命令行上使用 -D 选项设置属性。为您的应用设置 Java 属性:

          javax.net.ssl.trustStore= /<path-to>/java-application-ldap.jks
      javax.net.ssl.keyStore = /<path-to>/java-application-ldap.jks
      javax.net.ssl.keyStorePassword = <password selected above>
      javax.net.ssl.trustStorePassword=<password selected above>

  • 在docker环境dockfile修改startup.sh,并且把上面生成的java-application-ldap.pkcs12放在adapter配置文件路径

          java  -jar -Dspring.config.location=/ruijie/sourceid/adapter/conf/ -Dlogging.config=/ruijie/sourceid/adapter/conf/logback.xml -Djavax.net.ssl.trustStore=/ruijie/sourceid/adapter/conf/java-application-ldap.jks -Djavax.net.ssl.keyStore=/ruijie/sourceid/adapter/conf/java-application-ldap.jks -Djavax.net.ssl.keyStorePassword=123456 -Djavax.net.ssl.trustStorePassword=123456 -Xmx512m -Xms256m $JAVA_OPT_EXT /app/xxx.jar
Linux 安装并配置 OpenLDAP 新编(8)启用TLS
05-19 1361
CentOS8编译安装OpenLDAP,CentOS8自签名证书启用TLS
java实现ldap服务器_JavaLDAP教程(包括如何安装LDAP服务器/客户端
最佳 Java 编程
06-23 3551
java实现ldap服务器 本教程将向您展示如何编写Java代码以与LDAP交互。 但是在执行此操作之前,我们需要在计算机上设置LDAP服务器和客户端。 如果此时您不确定到底是什么LDAP,建议您使用这篇文章,其中提供了一个很好的定义示例。 (简而言之,将LDAP服务器视为专门的数据库很有帮助)。 安装LDAP服务器 我在MBP上运行。 环顾了一会后,我发现最容易安装的LDAP服务器是...
java ldap tls_JAVA操作LDAP之SSL操作篇
weixin_29428137的博客
02-23 396
第一步:执行命令导入服务器上的证书keytool -import -trustcacerts -alias umapad-ssl -file f:/ssl-ldap.cer -keystore "e:/ssl-ldap-mapad.jks"第二步:在代码中设置信任证书库及证书库口令System.setProperty("javax.net.ssl.trustStore", "e:/ssl-ldap...
Centos7 搭建LDAP并启用TLS加密
weixin_34174132的博客
01-12 1581
简介 LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是为了实现目录服务的信息服务。 目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。在网络中应用了LDAP后,用户只需要使用一个账号和密码就可以轻松访问网络中的所有服务,实现用户身份的统一认证。 简单来说:拿LDAP来统一管理一些账号,例如: Gitlab,...
java ldap tls_ldaptls 双向认证要我命
weixin_36256978的博客
02-23 435
客户端配置ca和自己的证书私钥 java 配置truststore和密码,并修改java启动参数root@saltjenkins:~# grep -i keystore /etc/default/jenkinsJAVA_ARGS="-Djava.awt.headless=true -Djavax.net.ssl.trustStorePassword=changeit -Djavax.net.ss...
LDAP TLS配置
weixin_34235457的博客
03-24 537
LDAP模式是明文传输,为了安全起见,最好配置TLS加密方式传输。下面是配置过程(省略了LDAP SERVER的配置过程,前面的文档中有)环境:LDAP SERVER1 172.16.42.136LDAP SERVER2 172.16.42.137CA SERVER & LDAP Client172.16.42.135CA Server配置:CA服务器创建私钥#...
配置Open LDAP使用TLS通信
03-19
- 如果客户端或服务器软件版本不支持TLS/SSL,则需要升级到支持的版本。 在操作过程中,确保遵循最佳安全实践,比如最小权限原则、定期更新证书和密钥以及对服务器进行持续的安全审计。配置Open LDAP使用TLS通信是...
LDAP入门:协议解析与客户端配置指南
5. API集成:利用提供的编程接口(如Java JNDI、Python ldap3库等)将LDAP服务集成到应用程序中,实现用户身份验证和授权。 通过理解和掌握这些基本概念,开发者可以有效地利用LDAP服务来管理用户身份、权限和配置...
ldap服务端+客户端 配套软件
11-17
Java的JNDI(Java Naming and Directory Interface)API为开发人员提供了与LDAP服务器交互的能力,因此JDK在这个包中可能是为了支持这些客户端工具的运行或者进行自定义开发。 4. **Windows 10兼容性**: 提到...
14、深入了解LDAP目录服务配置与客户端设置
最新发布
grafana8visual的博客
12-09 9
本文深入探讨了LDAP目录服务的配置与客户端设置,涵盖目录服务器数据填充、打印机条目管理、额外配置文件生成、账户管理启用、版本迁移、客户端初始化方式(配置文件与手动)、TLS安全设置及PAM认证配置等内容。通过操作流程对比表、流程图、常见问题解决方法和安全注意事项,全面指导系统管理员高效、安全地部署和优化LDAP服务,适用于Solaris环境下的命名与目录服务管理。
配置OpenLDAP使用TLS通讯
06-29
配置OpenLDAP使用TLS通讯,内容丰富,总结全面
code__openLdapTlsOpenldap配置TLS加密传输(完整版——shell脚本实现[分别在客户端与服务器端执行脚本,实现TLS加密])
07-05
客户端 注意事项: 脚本必须放在/root/workspace/clildapTls目录下: 需要已经配置好的以下文件: CA.crt CA.key clildapTls.sh index.txt openssl.cnf serial 服务器端 注意事项: 脚本必须放在/root/workspace/serldapTls目录下: 需要已经配置好的以下文件: CA.crt ldapsrv02.crt ldapsrv02.key
java操作Ldap支持建立开启状态的用户,支持修改密码,放入eclipse测试即用
07-09
java操作Ldap支持建立开启状态的用户,支持修改密码,放入eclipse测试即用,彻底操作AD域用户,有不明白的可以联系我
LDAP开启TLS
老实人的博客
01-09 7444
LDAP 开启 TLS 服务端 自定义CA签名证书 创建根密钥 openssl genrsa -out laoshirenCA.key 2048 创建自签名根证书 openssl req -x509 -new -nodes -key laoshirenCA.key -sha256 -days 1024 -out laoshirenCA.pem 输出: You are about to ...
java ldap tls_带有TLSv1.2的Java 7连接到LDAPS握手失败
weixin_32101377的博客
02-23 554
什么是RECV TLSv1警告:致命,握手_失败?这意味着我们收到了(Java SSL / TLS代码中,JSSE)来自服务器的警报,其严重性为致命,类型为handshake_failure . 由于它在发送一个握手消息后立即发生,如果您没有从您发布的日志提取中省略其他相关信息,我们可能会收到此警报以响应ClientHello消息,这是发送的第一个握手消息 .这里的'TLSv1'可能会产生误导 ...
java 连接ldaps
帆了个帆的专栏
05-14 4917
证书怎么生成的可以参考文章:https://blog.csdn.net/woloqun/article/details/90212376 将ldaps服务器的证书复制到client端,并将证书导入到本地环境 keytool -import -file apacheds.cer -alias apacheds -keystore /Library/Java/JavaVirtualMachine...
JAVA操作Ldap示例
cy_walker的专栏
04-20 1464
java使用javax.naming.directory操作ldap
什么是LDAP?
02-12 2057
1. LDAP介绍1.1. LDAP是什么1.2. LDAP是电话簿1.3. LDAP是不是数据库2. LDAP的特点2.1. LDAP的优势2.1.1 跨平台2.1.2 费用及维护2.1.3 复制技术2.1.4 允许使用ACI2.2. LDAP存储什么数据2.3. 什么时候该用LDAP存储数据3. LDAP的基本模型3.1 信息模型:描述LDA
java使用ldap读取ad域数据实现域登录以及同步
qq_39481762的博客
01-07 8556
      最近想要实现域组织账户同步以及域账户登录的功能,组织账户信息存放在ldap服务器中,要同步到本地数据库。对数据进行登录验证。 talk is cheap,show me the code. 首先验证账户是否可以登录: private final String FACTORY = "com.sun.jndi.ldap.LdapCtxFactory"; public static...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值