hello大家好,我是城乡经济网小晟来为大家解答以上问题,如何使用ldap,LDAP搭建统一认证服务)很多人还不知道,现在让我们一起来看看吧!
LDAP主要用来解决统一认证的问题,比如我们经常使用的nextcloud、proxmox、Linux主机等,均支持配置LDAP。通过部署LDAP,我们开发的众多网站和搭建的服务可以实现统一的用户管理,实现不同系统的统一认证,用户密码的统一修改等。LDAP是以树状结构的目录数据库为基础的服务,所以和我们文件夹类似的结构,以下是各个目录部分的名称。
属性名
(资料图片仅供参考)
英文名称
中文名
备注
DN
Distinguished Name
识别名
表示条目在目录树中从根出发的绝对路径,是条目的唯一标识
DC
Domain Name
域名
OU
Organizational Unit
组织单元
最多可以有四级,每级最长32个字符,可以为中文
CN
Common Name
用户名
LDAP的搭建和使用
slapd是服务端程序,ldap-utils是工具集(ladpmodify,ldapadd等)
apt install slapd ldap-utils
dpkg-reconfigure slapd
由于部分应用需要memberOf支持,所以我们在一开始就要添加该模块,这样后续用到时候方便直接使用。该部分参考链接完成。
首先需要新建三个文件,可以新建一个目录,分别是memberof_config.ldif、refint1.ldif、refint2.ldif。特别注意的是,在做这些之前,需要获取几个参数。
新建memberof_config.ldif,注意修改olcDatabase和olcModulePath为上面查询得结果。
# vim memberof_config.ldifdn: cn=module,cn=configcn: moduleobjectClass: olcModuleListolcModuleLoad: memberofolcModulePath: /usr/lib/ldapdn: olcOverlay={0}memberof,olcDatabase={1}mdb,cn=configobjectClass: olcConfigobjectClass: olcMemberOfobjectClass: olcOverlayConfigobjectClass: topolcOverlay: memberofolcMemberOfDangling: ignoreolcMemberOfRefInt: TRUEolcMemberOfGroupOC: groupOfNamesolcMemberOfMemberAD: memberolcMemberOfMemberOfAD: memberOf
新建refint1.ldif。
# vim refint1.ldifdn: cn=module{1},cn=configadd: olcmoduleloadolcmoduleload: refint
新建refint2.ldif,同样需要注意修改olcDatabase和上面查询得db结果一致。
# vim refint2.ldifdn: olcOverlay={1}refint,olcDatabase={1}mdb,cn=configobjectClass: olcConfigobjectClass: olcOverlayConfigobjectClass: olcRefintConfigobjectClass: topolcOverlay: {1}refintolcRefintAttribute: memberof member manager owner
运行下面命令,配置memberof模块。
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f memberof_config.ldif
运行下面命令加载和配置refint模块。
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldifldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif
先添加两个节点,分别用于存放用户和用户组。新建配置文件add_nodes.ldif。注意修改dn的值为你自己的。
# vim add_nodes.ldifdn: ou=people,dc=zhushurui,dc=cnobjectClass: organizationalUnitou: Peopledn: ou=groups,dc=zhushurui,dc=cnobjectClass: organizationalUnitou: Groups
执行以下命令使得配置生效。注意修改dc,输入密码后执行成功。
ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_nodes.ldif
添加一个用户,首先生成用户密码。
slappasswd -h {SHA} -s my_secret_password
结果如下:
{SHA}M6XDJwA47cNw9gm5kXV1uTQuMoY=
新建配置文件add_user.ldif如下,添加用户,特别注意修改你的dn。
# vim add_user.ldifdn: uid=john,ou=people,dc=zhushurui,dc=cncn: John DoegivenName: Johnsn: Doeuid: johnuidNumber: 5000gidNumber: 10000homeDirectory: /home/johnmail: [emailprotected]: topobjectClass: posixAccountobjectClass: shadowAccountobjectClass: inetOrgPersonobjectClass: organizationalPersonobjectClass: personloginShell: /bin/bashuserPassword: {SHA}M6XDJwA47cNw9gm5kXV1uTQuMoY=
执行以下命令,添加用户,需要修改dc和cn为你管理员的账号,默认情况只需要修改dc即可,然后输入你的管理员密码。
ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_user.ldif
新建配置文件add_group.ldif,添加用户组,特别注意修改你的dn和member。
# vim add_group.ldifdn: cn=mygroup,ou=groups,dc=zhushurui,dc=cnobjectClass: groupofnamescn: mygroupdescription: All usersmember: uid=john,ou=people,dc=zhushurui,dc=cn
执行以下命令,添加用户组,同样需要修改dc和cn。输入密码后添加成功。
ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_group.ldif
接下来查询用户,看是否已经有memberof模块配置了。
ldapsearch -x -LLL -H ldap:/// -b uid=john,ou=people,dc=zhushurui,dc=cn dn memberof
phpldapadmin可以用来管理ldap,执行以下命令安装软件。
apt install phpldapadmin
这时候可以通过访问http://ip/phpldapadmin/访问,我们需要修改配置文件。
vim /etc/phpldapadmin/config.php
注意设置成以下几个。第一条表示不给匿名用户登录,第二话设置只允许管理员登录,第三句话修改登录页默认填充的用户名,第四句话让phpldapadmin识别默认的dn。
$servers->setValue("login","anon_bind",false);$servers->setValue("login","allowed_dns",array("cn=admin,dc=zhushurui,dc=cn"));$servers->setValue("login","bind_id","cn=admin,dc=zhushurui,dc=cn");$servers->setValue("server","base",array("dc=zhushurui,dc=cn"));
一开始先使用模板Generic: Organisational Unit新建People和Groups两个节点,分别用于新建用户和用户组。在Users下面新建用户使用inetOrgPerson,在Groups下面新建用户组使用groupOfNames就可以自动添加memberof模块支持。也可以参考第四部分新增一个用户模板,后续可以通过复制的形式新增用户。
尝试后不推荐用,好像字段不全等问题,执行下列命令安装。
apt install ldap-account-manager
访问http://ip/lam即可登录系统。然后根据下面的动图完成初始化配置。初始化密码是lam。
配置服务器设置。
配置账号。
-- Write by PercyC
2021年12月14日
本文就为大家讲解到这里,希望对大家有所帮助。