初探 LDAP 安全

0x01 关于 ldap 的一些简单科普

0x02 其它的一些常用目录服务工具

0x03 了解ldap内部数据的大致存储方式

如下则是一条完整的条目信息,其实就相当于常规关系型数据库中的一条记录

0x04 认识ldap中常见的一些缩写单词含义

0x05 和很多服务相同,ldap服务同样也是工作在 C / S 架构模型下

此次演示环境

0x06 开始实战部署openldap,关于openldap本身其实并没什么太多好说的,就是ldap协议的一种具体实现而已

部署前环境准备,

安装openldap及其必要的依赖库

0x07 以上没问题后,我们开始来配置OpenLdap,此处依然使用兼容2.3版本的配置方式

设置ldap管理员密码,还是那句话,实际生产环境中,这个密码务必要足够的强壮

修改ldap数据库及日志设置,注意配置文件中的所有配置项必须顶格写

详细的ACL编写,可直接参考其官方说明,如下

0x08 让rsyslog记录ldap日志

0x09 修改ldap数据库的存放路径

0x10 一切配置就绪后,我们尝试启动openldap服务,,如果是加密通信,默认端口则为636

0x11 到此为止,ldap基本就算搭建好了,接下来,我们开始往ldap数据库中添加用户数据,在添加之前我们需要先把它转成符合ldap数据库的数据格式,如下

安装migrationtools工具,因为我们要它来导出本地用户数据

使用migrationtools内置的脚本来进行导出

使用ldapadd的添加条目,即 ,往ldap数据库中添加刚刚导出的数据

使用ldapdelete删除指定条目,即

使用ldapmodify修改指定条目,即

使用ldapsearch查询指定条目,即 询指定basedn下的所有条目

备份ldap数据库

0x12 使用各种ldap客户端管理工具来操作ldap数据库,此处暂以web端管理接口为例进行演示

虽然这种纯图形化的工具貌似是很好用,但个人还是不太建议在实际生产环境中用,验证过于简单,比较危险,毕竟只是个web脚本,很容易被入侵者扫目录,扫域名时扫到,另外,也极易被各类搜索引擎抓到,如下

0x13 启用sasl,让指定的服务都通过ldap的方式进行集中身份验证

0x14 以让svn服务通过ldap进行认证为例,其实非常简单,首先,你需要先在本机快速部署好svn,至于具体的部署方法,请参考之前的相关文章,当然,除了svn,像这类的基础服务也都可以通过ldap进行身份验证,并非重点此处不再赘述

下面是svn通过ldap进行认证的实际效果

0x15 关于ldap主从同步,后续有机会再说,这次我们先初步入个门 ^_^

0x16 最后,我们再来关注下openldap的一些安全问题,最重要的可能就是,对此的利用没什么好说的,直接用各种ldap客户端工具,如,,只需

后话:

建议实际生产环境中直接使用加密传输,另外,可根据实际业务需求配置更具针对性的ACL,至于针对web层的,篇幅原因,我们在后续的相关章节中还会再做详细说明,待续……

#LDAP安全