授权管理-LDAP-介绍与环境搭建

LDAP介绍

转自：https://blog.csdn.net/tanshizhen119/article/details/79942315

还是先来百度百科介绍。

LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。它是基于X.500标准的，但是简单多了并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

以前我也就听了一下公司里主要是用来存放用户的信息，然后用来做统一认证的。ldap协议是一个标准解析，所以好多开源软件都支持ldap,gerrit，gitlab,redmine,jenkins等等等，好多好多。我这个专题主要是面向开源的系统，所以ldap是一个基础。

先来个图：

PS:安装的是否我选择的是LDIF存储格式。

大概就是这样，存储就像一棵树一样，一级一级的，最里面的那层存储的最详细的信息。例如：

dc=maxcrc,dc=com—— maxcrc公司

ou=people——people部门

cn=devops+displayName....uid=100001+user——这个是员工的具体信息

dc, ou，cn, uid都有明确的定义，而且是标准的。这个我们会在ldap schema文件里再说明一下。

网上关于ldap的文章也很多，ldap还有好多的高级用法，可以用来管理好多的数据，最基本的功能就是存储信息。

如果想要深入学习的，可以下载这本书下来看看 《Linux+UNIX+OpenLDAP实战指南》  密码：cdjj

感觉还可以。

优点：

1. 速度快，分布式。

2. 标准协议，可以适用在很多场景，而且集成成本低。

3. 是一个非常成熟的产品，网上的资料，用法都很多，学习成本低（不过开发的可能了解的不多，偏运维应该是了解得透透的吧）

LDAP环境搭建

hub镜像地址: osixia/openldap

github地址：https://github.com/osixia/docker-openldap 这上面会对此docker镜像有明确的说明，包括如何运行。各种场景都有，请好好阅读。

下载docker镜像命令：docker pull osixia/openldap

运行命令：docker run --name ldap --env LDAP_ORGANISATION="shanktech" --env LDAP_DOMAIN="shanktech.com" --env LDAP_ADMIN_PASSWORD="123456" -p 389:389 -p 636:639 --detach osixia/openldap:1.2.0

此命令我们没有对目录进行映射，所以当docker运行结束后，产生的所有数据会丢失。

如果不想用docker运行，也可以再官网上下载安装包进行安装。在windows上也是可以进行安装。

openldap for windows 下载地址 这个安装就很简单了，下一步下一步即可.

在osixia/openldap  docker容器里使用的是MDB格式。

运行docker run命令后ldap服务就起来了。

这边推荐一个客户端 ApacheDirectoryStudio 可以直接点击下载，基于java eclipse写的，运行起来和eclipse差不多。

创建LDAP连接

上图

1. 输入ip 因为没有改端口所以使用的是默认端口。

2. 输入用户名和密码登录

我们在运行docker run命令的时候设置了环境变量。

-env LDAP_ORGANISATION="shanktech"

--env LDAP_DOMAIN="shanktech.com"

--env LDAP_ADMIN_PASSWORD="123456"

所以登录LDAP的用户名和密码为 用户名：cn=admin,dc=shanktech,dc=com 密码为123456

3.插入新数据

上一波图，不过相信，不用看图大家也可以做出来。第一次接触ldap, 昨天自己摸索了好久,不过经过学习发现了自己迷茫的圆心，主要在schema, objectcalss, atrr不是很理解导致的。下面我会对进行详细的解释，因为这个在网上没有，至少我没有搜索到。

这样就插入了一条数据。

LDAP说明重点知识介绍

在回顾一下LDAP存储格式，是以一种树状的格式存储的。在我的理解，ldap是先定义了一个树状数据结构，在叶子节点上定义了专属的属性。这些定义是通过schema文件来体现的，我们来举一个例子如下图：

schema文件就是放了这些定义的信息的。（ldap有高级的玩法，就是自己自定义schema文件，自己定义节点。当然这不能乱定义的，要在扩展节点上定义自己的叶子节点属性,看到这些让我想起了简单网络管理协议SNMP）

接下来我们再谈一下ObjectClass和attr的关系。

其实看这个ldap这个树状结构，属性与属性之间个独立，分散，像是一个个特征一样。Objectclass是将这些有关联关系的特征组织起来，定义成一个模板。让你去好组织数据。这个和我们常说面向的对象编程里的class, 属性一致。ldap这里的属性与class都是标准定义的而已。下图对Objectclass大概解释了一下。

使用LDAP认证登录Gerrit系统

1. 首先将Gerrit认证换成LDAP

在gerrit.config中修改配置，然后重启。

[auth]
type = LDAP
[ldap]
  server = ldap://192.168.2.189
  accountBase = dc=shanktech,dc=com
  accountPattern = (&(objectClass=person)(uid=${username}))
  accountFullName = displayName
  accountEmailAddress = mail
  username = cn=admin,dc=shanktech,dc=com

password = 123456

如下图：

然后登录成功

写的这些都是很基本的功能，先不打算深入了，我是计划着先把所有的工具都跑一遍，然后再逐渐的深入。