為了安全的因素,所以啟用 Open LDAP Server 加密傳輸,讓資料在傳輸時能更加的安全。
文章內容參考 八克里: CENTOS 6 LDAP server設定 – 轉移使用者帳號資訊到 LDAP
切換目錄
# cd /etc/pki/tls/certs
刪除原有的憑證
# rm -rf slapd.pem
產生新的憑證
# make slapd.pem
更改檔案權限
# chmod 640 slapd.pem
更改檔案擁有的使用者及群組
# chown ldap:ldap slapd.pem
將 slapd.pem 連結到 /etc/openldap/cacerts 目錄下提供憑證認證使用
# ln -s /etc/pki/tls/certs/slapd.pem /etc/openldap/certs/slapd.pem
[@more@]修改系統的啟動設定檔,開啟 LDAPS 的功能
# vim /etc/sysconfig/ldap
SLAPD_LDAPS=yes
修改 /etc/openldap/slapd.conf 設定檔,加入憑證路徑
# vim /etc/openldap/slapd.conf
取消註解以下內容:
TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
TLSCertificateFile /etc/pki/tls/certs/slapd.pem
TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem
修改 /etc/openldap.ldap.conf 設定檔
# vim /etc/openldap/ldap.conf
#加入以下內容:
TLS_CACERTDIR /etc/openldap/cacerts
TLS_REQCERT never
重新初始化 Open LDAP Server
# rm -rf /etc/openldap/slapd.d/*
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
# chown -R ldap:ldap /etc/openldap/slapd.d
# service slapd restart
檢查是否有啟動 636 Port
# netstat -ntulp | egrep ‘389|636’
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN 38883/slapd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 38883/slapd
tcp 0 0 :::636 :::* LISTEN 38883/slapd
tcp 0 0 :::389 :::* LISTEN 38883/slapd
設定防火牆
# iptables -A INPUT -p tcp -s 192.168.1.0/24 -m state –state NEW –dport 389 -j ACCEPT
# iptables -A INPUT -p tcp -s 192.168.1.0/24 -m state –state NEW –dport 636 -j ACCEPT
或
# iptables -A INPUT -p tcp -s 192.168.1.0/24 -m state –state NEW -m multiport –dports 389,636 -j ACCEPT