您的位置 首页 > 数码极客

【ldap是什么意思】探 索LDAP 安全(干货分享)

关于0x01 LDAP的几个简单科普

“LDAP”是基于tcp/ip的轻量级目录访问协议,是X.500目录协议族的简化版本

可以暂时粗暴地解释为“特殊类型的数据库”。通常,此数据库文件后缀为`.' ldif ',可以使用特殊的节点查找语句获取相应的数据。

在实际生产环境中,主要用于执行各种查询。查询,也就是说会有很多读取操作。

Ldap支持简单的更新功能(写功能),但由于写效率不高,因此不常用。(威廉莎士比亚、LDAP、LDAP、LDAP、LDAP、LDAP、LDAP)

如果真的写得多,最好直接用各种关系数据库代替。不需要使用LDAP。毕竟术业有专攻。

此外,LDAP跨平台、功能简洁、管理、配置、读取性能也很好。另外,可以分散分发。不知道能否将它的分布理解为windows域的目录树。“森林概念”

最常用的是“集中认证”。最后,还必须知道,LDAP中的所有数据基本上都是以明文直接传输的,很容易被拦截,但支持SSL。

0x02其他常用目录服务工具

X.500太大,太肥大

Ldap轻量级和简单配置

Windows active directory有平台限制

NIS个人还没有接触过。

了解0x03 LDAP内部数据的一般存储方式

与常规关系数据库不同,LDAP不通过常规库、表和字段的方式存储数据

相反,根据特殊的逆树层次结构组织管理数据。其中树表示目录信息树,即“DIT”。

目录信息树相当于只读数据库

DIT内部包含n个条目“entry”,相当于常规数据库表中的每个特定记录。

项目的内容是由具有唯一辨别名称' DN '的属性[Attribute]和与属性相对应的值[value]组成的集合。

条目是LDAP中最基本的业务实体。通常,LDAP添加和删除查询以条目为基本单位

以下是完整的项目信息,实际上相当于普通关系数据库中的记录。

Dn :cn=aima aima,ou=people,DC=ldapmaster,DC=org

对象类: POSIX帐户

ObjectClass: inetOrgPerson

object class : organizationalperson

ObjectClass: person

ObjectClass: shadowAccount

标志外壳:/bin/bash

Uid: aima

Cn: aima aima

Uid号: 10000

Gid号: 173

Sn: sec

GivenName: aima

HomeDirectory: /home/aima

ShadowLastChange: 17520

user password :3360 e 1 nts ef 9 oexmz 2 fyuhqzegl 2k 0 rscwvoq 09ma 0 lxtnkxtwrvee 4=

0x04识别LDAP中常见缩写的含义

与Linux文件系统的绝对路径类似的dn唯一标注可以通过dn快速查找目录信息树中的所有节点

Basedn是我们称之为目录信息树的根,rdn是相对标签名,即相对路径。

Dc通常用于将整个域名分为多个部分。例如,roo将显示为“dc=rootkit,dc=org”

Uid用户id。通常派生自/etc/passwd

Cn名称(通常在/etc/group中提供)

Sn城

o组织[公司]的名称,这些在逻辑上是分开的

Ou单位[部门]名称

0x05与许多服务一样,LDAP服务也在C/S体系结构模式下工作

服务器端负责提供整个目录信息树,客户端拿着相应的信息树查询工具向服务器端提交查询请求后,服务器端会响应特定的项目数据,或者直接返回指针。

如果服务器端返回指针,则客户端必须将指针移回指定的LDAP服务器,以查询相应的项目数据。

此次演示环境

cen IP : 192 . 168 . 3 . 68 LDAP master

cenip : 192 . 168 . 3 . 69 LDAP slave

0x06开始实战部署OpenLDAP,对于OpenLDAP本身没什么好说的。这就是LDAP协议的具体实现。

部署前准备环境、安装完整的基本环境软件包、集成所有系统时间、系统名称.

# yum group install ' development tools '-y

# /usr/sbin/ntpdate

# crontab -e

*/2 * * */2 * * */usr/sbin/ntpdate每两分钟同步一次时间

# crontab -l

# vi /etc/hosts

192.168.3.68 lda

192.168.3.69 lda

安装openldap及其必要的依赖库

# yum install openldap openldap-* -y

# yum -y install nscd nss-pam-ldapd pcre pcre-*

# yum -y update nss-softokn-freebl 此处软件包有冲突,最好分开装

# yum -y install nss-*

# rpm -qa | grep openldap

# id ldap 安装完成后,会自动创建一个名为ldap的系统伪用户,专用用来跑ldap服务

# slapd -V 此处演示的openldap版本为2.4

0x07 以上没问题后,我们开始来配置OpenLdap,此处依然使用兼容2.3版本的配置方式

# cd /etc/openldap/

# cp /usr/share/openldap-server

# ls -l

设置ldap管理员密码,还是那句话,实际生产环境中,这个密码务必要足够的强壮

# slappasswd -s klion 生成ldap管理员密码hash,并把它追加到ldap主配置中

# slappasswd -s klion | sed -e "s#{SSHA}#rootpwt{SSHA}#g" >>/etc/openldap/

# tail -n 1 /etc/openldap/

rootpw {SSHA}rkmKIPz4B5y6MmGLqSZbMZy0JMVY/gzK

# cp _`date +%Y%m%d`.bak

修改ldap数据库及日志设置,注意配置文件中的所有配置项必须顶格写

# vi /etc/openldap/

# 先把默认的数据库配置全部注释掉

# database definitions

# database bdb

# suffix "dc=my-domain,dc=com"

# checkpoint 1024 15

# rootdn "cn=Manager,dc=my-domain,dc=com"

# 再来新增自己的数据库配置

database bdb # 指定使用的数据库格式

suffix "dc=ldapmaster,dc=org" # 指定域名

rootdn "cn=klion,dc=ldapmaster,dc=org" # 指定ldap管理员的dn

rootpw {SSHA}rkmKIPz4B5y6MmGLqSZbMZy0JMVY/gzK # ldap管理员的密码hash,就是我们上面设置的klion

# 设置ldap日志

loglevel 296 指定日志级别

cachesize 2000 可以缓存的记录总数

checkpoint 2048 10 每到2048K或者每10分钟把内存中的数据往数据库中写一次

# 修改ldap默认的ACL,此处,支持直接用正则表示,严禁允许直接匿名访问,非常危险,极易造成大量敏感信息泄露

# 建议把默认的access项全部注释掉,换成如下权限,所谓的 `ldap未授权` 的根源也就在这里

# 下面ACL只做简单demo参考,大家可根据自己的实际情况,把to后的*换成更具体的范围,把by 后的权限控制的更精细些

access to *

by self write

by anonymous auth

by user read

# egrep -v "^$|#" /etc/openldap/ 最后,检查配置

详细的ACL编写,可直接参考其官方说明,如下

0x08 让rsyslog记录ldap日志

# cp /etc /etc_`date +%Y%m%d`.bak

# echo "local4.* /var/log; >> /etc

# tail -n 1 /etc

# /etc restart

0x09 修改ldap数据库的存放路径

# grep bdb /etc/openldap/

# cp /usr/share/openldap-server /var/lib/ldap/DB_CONFIG

# chown ldap.ldap /var/lib/ldap/DB_CONFIG

# chmod 700 /var/lib/ldap/

# ll /var/lib/ldap/

# egrep -v "#|^$" /var/lib/ldap/DB_CONFIG

# slaptest -u 检查配置是否正确

# egrep -v "^#|^$" /etc/openldap/

0x10 一切配置就绪后,我们尝试启动openldap服务,默认它工作在tcp的389端口,如果是加密通信,默认端口则为636

# /etc start

# netstat -tulnp | grep 389

# ps aux | grep slapd 查看ldap默认的服务运行权限

# chkconfig slapd on

# chkconfig --list | grep slapd

# tail /var/log

# 查询当前ldap数据库中的所有用户信息,默认肯定是空的,因为我们此时还没有导入任何信息

# ldapsearch -LLL -W -x -H ldap://lda -D "cn=klion,dc=ldapmaster,dc=org" -b "dc=ldapmaster,dc=org" "(uid=*)"

# rm -rf /etc/openlda* 上述第一次查询可能会有问题,把该目录下的配置全部删掉,重启服务再查基本就没问题了

# slaptest -f /etc/openldap/ -F /etc/openlda

# chown -R ldap.ldap /etc/openlda

# /etc restart

# netstat -tunlp |grep slapd

0x11 到此为止,ldap基本就算搭建好了,接下来,我们开始往ldap数据库中添加用户数据,在添加之前我们需要先把它转成符合ldap数据库的数据格式,如下

安装migrationtools工具,因为我们要它来导出本地用户数据

# yum install migrationtools -y

# vi /usr/share/migrationtool 修改为自己的域名和BaseDN

$DEFAULT_MAIL_DOMAIN = "lda";

$DEFAULT_BASE = "dc=ldapmaster,dc=org";

使用migrationtools内置的脚本来进行导出

# export LC_ALL=C

# echo "export LC_ALL=C" >> /etc/profile

# /usr/share/migrationtool > ba

# /usr/share/migrationtool /etc/passwd >

# /usr/share/migrationtool /etc/group > group.ldif

使用ldapadd的添加条目,即 增,往ldap数据库中添加刚刚导出的数据

# ldapadd -x -H ldap://lda -D "cn=klion,dc=ldapmaster,dc=org" -W -f ba

# ldapadd -x -H ldap://lda -D "cn=klion,dc=ldapmaster,dc=org" -W -f

# ldapadd -x -H ldap://lda -D "cn=klion,dc=ldapmaster,dc=org" -W -f group.ldif

使用ldapdelete删除指定条目,即 删

# ldapdelete -x -H ldap://lda -D "cn=klion,dc=ldapmaster,dc=org" -w klion "cn=test,ou=Group,dc=ldapmaster,dc=org"

使用ldapmodify修改指定条目,即 改

# ldapmodify -x -W -H ldap://lda -D "cn=klion,dc=ldapmaster,dc=org" -f

使用ldapsearch查询指定条目,即 查询指定basedn下的所有条目

# ldapsearch -LLL -w klion -x -H ldap://lda -D "cn=klion,dc=ldapmaster,dc=org" -b "dc=ldapmaster,dc=org"

# ldapsearch -LLL -w klion -x -H ldap://lda -D "cn=klion,dc=ldapmaster,dc=org" -b "dc=ldapmaster,dc=org" "(uid=aima)"

备份ldap数据库

# ldapsearch -LLL -w klion -x -H ldap://lda -D "cn=klion,dc=ldapmaster,dc=org" -b "dc=ldapmaster,dc=org" "(uid=*)" >bak.ldif

0x12 使用各种ldap客户端管理工具来操作ldap数据库,此处暂以web端管理接口为例进行演示

# yum install httpd php php-ldap php-gd -y

# cd /var/www/html/

# tar xf lda

# mv lda ldap

# cd ldap/config

# cp con con.bak

# cp lam.conf_sample lam.con

# mv con con

# mv lam.conf_sample lam.conf

serverURL: ldap://ldapmaster:389

admins: cn=klion,dc=ldapmaster,dc=org

treesuffix: dc=ldapmaster,dc=org

types: suffix_user: ou=People,dc=ldapmaster,dc=org

types: suffix_group: ou=group,dc=ldapmaster,dc=org

types: suffix_host: ou=machines,dc=ldapmaster,dc=org

types: suffix_smbDomain: dc=ldapmaster,dc=org

# chown -R a /var/www/html/ldap

# vi /etc/httpd/con

<VirtualHost *:80>

ServerAdmin lda

DocumentRoot /var/www/html/ldap

ServerName lda

ErrorLog logs/lda-error_log

CustomLog logs/lda-access_log common

</VirtualHost>

# /etc start

# chkconfig httpd on

http://lda/template 做好host解析后访问此url即可全图形化管理ldap

虽然这种纯图形化的工具貌似是很好用,但个人还是不太建议在实际生产环境中用,验证过于简单,比较危险,毕竟只是个web脚本,很容易被入侵者扫目录,扫域名时扫到,另外,也极易被各类搜索引擎抓到,如下

1

inurl:template intitle:LDAP Account Manager

0x13 启用sasl,让指定的服务都通过ldap的方式进行集中身份验证

# yum install *sasl* -y

# rpm -qa | grep sasl

# saslauthd -v sasl所支持的所有认证类型

# sed -i 's#MECH=pam#MECH=ldap#g' /etc/sysconfig/saslauthd

# grep -i mech /etc/sysconfig/saslauthd

MECH=ldap

# /etc start

# chkconfig saslauthd on

# vi /etc

ldap_bind_dn: cn=klion,dc=ldapmaster,dc=org

ldap_bind_pw: klion

ldap_search_base: ou=People,dc=ldapmaster,dc=org

ldap_filter: uid=%U

ldap_password_attr: userPassword

# ps -ef | grep sasl

# testsaslauthd -u super -p admin 此时便会用ldap账户来进行验证

0x14 以让svn服务通过ldap进行认证为例,其实非常简单,首先,你需要先在本机快速部署好svn,至于具体的部署方法,请参考之前的相关文章,当然,除了svn,像vsftpd,samba这类的基础服务也都可以通过ldap进行身份验证,并非重点此处不再赘述

# 让svn通过ldap进行验证,不再走svn自己的验证了

# vi /etc/sasl2

pwcheck_method: saslauthd

mech_list: PLAIN LOGIN

# 编辑svn主配置文件

# vi /svn/svndata/svndoc/con

[general]

anon-access = none

auth-access = write

password-db = /svn/svnpasswd/passwd

authz-db = /svn/svnpasswd/authz

[sasl]

use-sasl = true # 开启svn的sasl验证

# 把svn本地用户全部注释掉,因为一旦开启sasl就不再走svn本地验证了

# vi /svn/svnpasswd/passwd

[users]

# harry = harryssecret

# sally = sallyssecret

# web = 654321

# webadmin = admin110

# admin = 123456

# bakuser = admin

# guest = svn110

# svn = svnadmin

# 另外,还需要把ldap用户加到svn认证文件中,不然,依然是登不上svn的

# 虽然用户密码验证过程不走本地,但权限认证过程还是在本地进行的

# vi /svn/svnpasswd/authz

[aliases]

[groups]

administrator = web

sec = webadmin,admin

ldap_user = svnnew,super

[svndoc:/]

svn = rw

@administrator = rw

@ldap_user = rw

[svndoc:/web01]

bakuser = rw

[svndoc:/web02]

guest = rw

下面是svn通过ldap进行认证的实际效果

0x15 关于ldap主从同步,后续有机会再说,这次我们先初步入个门 ^_^

0x16 最后,我们再来关注下openldap的一些安全问题,最重要的可能就是允许匿名访问,对此的利用没什么好说的,直接用各种ldap客户端工具,如,LDAPSoft Ldap Browser或者JXplorer都行,只需指定正确的ip,端口和dn,然后用匿名的方式连上去即可

后话:

建议实际生产环境中直接使用加密传输,另外,可根据实际业务需求配置更具针对性的ACL,至于针对web层的ldap注入 [ 其实跟sql注入没什么两样,只是查询语言不同而已 ],篇幅原因,我们在后续的相关章节中还会再做详细说明,待续……

责任编辑: 鲁达

1.内容基于多重复合算法人工智能语言模型创作,旨在以深度学习研究为目的传播信息知识,内容观点与本网站无关,反馈举报请
2.仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证;
3.本站属于非营利性站点无毒无广告,请读者放心使用!

推荐阅读