0)LDAP 介绍

LDAP 是什么?在那些地方用会用到 LDAP?

LDAP英文名称:Lightweight Directory Access Protocol 轻型目录访问协议。

常用在单点登录,用户可以通过一个用户和密码登录多个服务,方便管理。目前我们使用的一下工具,Jenkins,GitLab,Jumpserver,Grafana,Confluence,NextCloud 等等,很多开源的软件都集成了 LDAP,方便了用户使用,也方便了运维管理。下面针对 LDAP 在 CentOS7 环境中的安装方法进行一下说明:

1)LDAP 一般组织架构

1)软件安装

yum install openldap openldap-clients openldap-servers -y

2)配置 OpenLDAP Server

vim /etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif

将 cn=Manager,dc=my-domain,dc=com

改为你自己的,内容可以随便,但是所有地方都要一致

cn=admin,dc=wuhanjiayou,dc=cn

vim /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif

将 olcSuffix: dc=my-domain,dc=com olcRootDN: cn=Manager,dc=my-domain,dc=com

改为

olcSuffix: dc=wuhanjiayou,dc=cn

olcRootDN: cn=admin,dc=wuhanjiayou,dc=cn

然后在末尾添加一行

此处设置的是 认证密码

olcRootPW: 123456

  1. 拷贝 DB 文件
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

// 修改该文件的权限

chown -R ldap:ldap /var/lib/ldap/
  1. 测试配置文件是否正确
slaptest -u

  1. 如果修改了 hostname,相应的要修改 hosts,不然执行命令会卡住,很长时间才会执行完成。
hostnamectl set-hostname ldap

echo '127.0.0.1 ldap' >> hosts
  1. 启动服务
systemctl start slapd

systemctl enable slapd
  1. 添加 scheme 表 [ 重要 ]

否则,后面使用 ldapaddgroup 命令会报错 Error adding group test to LDAP

ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

3)创建 base.ldif 文件

  1. 创建如下文件,内容按照自己的配置修改
[root@localhost ~] vim base.ldif

dn: dc=wuhanjiayou,dc=cn

objectClass: dcObject

objectClass: organization

o: wuhanjiayou.cn

dc: wuhanjiayou

dn: ou=users,dc=wuhanjiayou,dc=cn

objectClass: organizationalUnit

objectClass: top

ou: users

dn: ou=groups,dc=wuhanjiayou,dc=cn

objectClass: organizationalUnit

objectClass: top

ou: groups
  1. 建立最基础的目录结构
ldapadd -x -W -D "cn=admin,dc=wuhanjiayou,dc=cn" -f base.ldif

  1. 验证基础目录是否创建成功
vim /etc/openldap/ldap.conf

添加如下行信息

BASE    dc=wuhanjiayou,dc=cn

URI     ldap://10.0.59.114 ldap://10.0.59.114:666

4)管理用户与组

ldapscripts-2.0.8.tgz.zip

1. 安装依赖包 yum install sharutils

yum install sharutils -y

2. Ldapscripts 需要手动下载安装

cd /opt

tar xzvf ldapscripts-2.0.8.tgz

cd ldapscripts-2.0.8 && make install PREFIX=/

3. 配置 ldapscripts

vim /etc/ldapscripts/ldapscripts.conf

3.1 将 SERVER="ldap://localhost" 改成 SERVER="ldap://10.0.59.114"

3.2 将 SUFFIX="dc=example,dc=com" 改成 SUFFIX="dc=wuhanjiayou,dc=cn"

3.3 将 BINDDN="cn=Manager,dc=example,dc=com" 改成 BINDDN="cn=admin,dc=wuhanjiayou,dc=cn"

3.4 去掉 #ICONVCHAR="ISO-8859-15" 的注释

4. 修改 /etc/ldapscripts/ldapscripts.passwd 文件

sh -c "echo -n '123456' > /etc/ldapscripts/ldapscripts.passwd"

5)管理 Group,User

// 创建 Group

ldapaddgroup it

// 创建 User

ldapadduser wangj it

// 设置用户密码

ldapsetpasswd wangj

6)基于 PHPLDAPAdmin 访问管理后台

LDAP 装好后,下面安装 Web 界面 PHPLDAPAdmin。

我们可以安装 PHPLDAPAdmin Web 平台来管理我们的 OpenLDAP 服务,这样就可以在 Web 页面进行 OpenLDAP 服务的数据增删改查,方便运维。

安装 Apache 和 PHP

yum install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml -y

安装 PHPLDAPAdmin

# 需要先安装 epel 源

yum -y install epel-release

yum --enablerepo=epel -y install phpldapadmin

配置 HTTPD

vim /etc/httpd/conf/httpd.conf

AllowOverride All                                         // 第 151 行

DirectoryIndex index.html index.cgi index.php             // 第 164 行

# 末尾添加如下几行

# server's response header

ServerTokens Prod

# keepalive is ON

KeepAlive On

配置 PHPLDAPAdmin,修改登入规则和监听端口

vim /etc/phpldapadmin/config.php

# 397 行取消注释, 398 行添加注释 [设置通过 DN 整个条目来登入 PHPLDAPAdmin 而不是通过用户的 UID 来登入 ]

$servers->setValue('login','attr','dn');

// $servers->setValue('login','attr','uid');

# [ 如果 LDAP 服务安装和 PHPLDAPAdmin 服务安装不在同一个服务器上 ]

# 则修改 298 和 301 行, 修改 PHPLDAPAdmin 监听的 IP 和端口, 并取消注释

# [ 如果 LDAP 服务和 PHPLDAPAdmin 服务在同一台服务器上 ]

# 且 LDAP 的端口为 389, 则可不修改, 直接取消注释即可

/* Examples:

   'ldap.example.com',

   'ldaps://ldap.example.com/',

   'ldapi://%2fusr%local%2fvar%2frun%2fldapi'

           (Unix socket at /usr/local/var/run/ldap) */

$servers->setValue('server','host','127.0.0.1');

配置 PHPLDAPAdmin

修改 PHPLDAPAdmin 的配置文件,访问控制权限 vim /etc/httpd/conf.d/phpldapadmin.conf,允许谁访问添加访问的 IP 段,允许远程客户端访问。

vim /etc/httpd/conf.d/phpldapadmin.conf

#

#  Web-based tool for managing LDAP servers

#

Alias /phpldapadmin /usr/share/phpldapadmin/htdocs

Alias /ldapadmin /usr/share/phpldapadmin/htdocs

<Directory /usr/share/phpldapadmin/htdocs>

  <IfModule mod_authz_core.c>

    # Apache 2.4  # Apache版本是 2.4 的修改这里的配置

    Require local

    Require  ip  10.0.59.0/24		# 修改

  </IfModule>

  <IfModule !mod_authz_core.c>

    # Apache 2.2

    Order Deny,Allow

    Deny from all

    Allow from 127.0.0.1

    Allow from ::1

  </IfModule>

</Directory>

启动 PHPLDAPAdmin

systemctl enable httpd

systemctl start httpd

Web 浏览器访问网址

使用数据库管理账户登入 PHPLDAPAdmin,如果登入成功,则表示配置成功。

http://10.0.59.114/ldapadmin/

用户名:cn=admin,dc=wuhanjiayou,dc=cn 密码:123456

如登录报错:可尝试关闭服务器 SELinux 试试

setenforce 0

大功告成~

统一身份认证系统 OpenLDAP 完整部署的更多相关文章

  1. 基于DDD + SD.Framework实现的统一身份认证系统

    项目地址 http://git.oschina.net/lishilei0523/ShSoft.UAC 项目说明 本项目开发的目的有三: 1.作为一个使用SD.Framework框架开发的项目样板 2 ...

  2. 中国科学技术大学统一身份认证系统CAS

    CAS | Apereohttps://www.apereo.org/projects/cas 中国科学技术大学统一身份认证系统https://passport.ustc.edu.cn/login?s ...

  3. SSO单点登录统一身份认证系统

    什么是单点登录 简单点说就是公司有A,B两个系统,我登录了A系统之后再跳转到B系统可以直接访问,而不需要再次登录B系统. 几种常见的单点登录实现方式 在讲解单点登录之前先讲解几个基本的概念: Cook ...

  4. 构建基于分布式SOA架构的统一身份认证体系

    摘要:本文充分利用SOA架构松耦合的特点,通过规范统一网络接口实现业务系统整合,既提升系统安全性,又简化资源访问操作,具有重要的理论和现实意义. 统一身份认证旨在将分散在各个信息系统中的用户和权限资源 ...

  5. JEECG 集成KiSSO单点登录实现统一身份认证

    JEECG 集成KiSSO单点登录实现统一身份认证 JEECG 如何为其他第三方系统实现统一身份认证服务,实现单点登录? 第三方系统如何对接呢? 今天为大家揭开这层面纱,让大家了解实质,使用它更快速的 ...

  6. 【.NET Core微服务实战-统一身份认证】开篇及目录索引

    简介 ​ 学习.NETCORE也有1年多时间了,发现.NETCORE项目实战系列教程很少,都是介绍开源项目或基础教程,对于那些观望的朋友不能形成很好的学习思路,遇到问题怕无法得到解决而不敢再实际项目中 ...

  7. 统一用户认证系统CUAS实现要点

    背景: 基于目前存在多套员工使用的日常工作子系统,现状为各系统各自有一套用户体系,员工需要记住各系统的用户名.密码等信息,还需要登录多个系统,重复工作量颇多.统一用户认证组件将用户名.密码等信息统一存 ...

  8. 介绍 ASP.NET Identity - ASP.NET 应用程序的成员身份认证系统

    ASP.NET Identity 是构建 ASP.NET web 应用程序的一种新的身份认证系统.ASP.NET Identity 可以让您的应用程序拥有登录功能,并可以轻松地自定义登录用户的相关数据 ...

  9. 记录使用Python登录浙江大学统一身份认证

    背景 现在每天要进行健康情况上报,但是因为经常睡过头忘记打卡,于是想着写一个程序来自动打卡. 统一身份认证 访问健康情况上报页面(https://healthreport.zju.edu.cn/nco ...

  10. 身份认证系统(一)单WEB应用的身份认证

    身份认证技术,也就是所谓的登录功能,是现代WEB系统最常见的功能之一.本系列文章就试图为大家详细的介绍身份认证技术. Basic认证模式 Basic认证模式是较早被广泛应用的一种HTTP标准提供的认证 ...

随机推荐

  1. windows加壳程序WinLicense与Themida

    反调试提示 开了Procmon.exe之后启动游戏会弹出这个框,这个是程序加壳之后的反外挂,反调试提示框. WinLicense A monitor program has been found ru ...

  2. 关于git的几点疑问

    git rename后查看之前的记录 对于某个文件进行rename之后,使用show log命令查看之前的修改记录都会丢失,通过命令行方式进行mv之后,在tortoisegit中查看记录还是丢失的 g ...

  3. 大语言模型的预训练[5]:语境学习、上下文学习In-Context Learning:精调LLM、Prompt设计和打分函数设计以及ICL底层机制等原理详解

    大语言模型的预训练[5]:语境学习.上下文学习In-Context Learning:精调LLM.Prompt设计和打分函数(Scoring Function)设计以及ICL底层机制等原理详解 1.I ...

  4. Python库【数据处理、机器学习、大数据、文件处理等14个类的所有python库整理】

    吐血整理一个月--终于把所有Python库整理齐了....._小熊猫爱恰饭的博客-CSDN博客 参考链接: 一.数据处理 #python学习资料群:660193417 ##3 Chardet # 字符 ...

  5. 4.2 Windows驱动开发:内核中进程线程与模块

    内核进程线程和模块是操作系统内核中非常重要的概念.它们是操作系统的核心部分,用于管理系统资源和处理系统请求.在驱动安全开发中,理解内核进程线程和模块的概念对于编写安全的内核驱动程序至关重要. 内核进程 ...

  6. pthread库的使用

    目录 1.说明 2.使用 2.1.pthread_create 2.2.pthread_join 2.3.pthread_exit 2.4.pthread_self 2.5.pthraad_detac ...

  7. 【LLM】提示工程技术提炼精华分享

    一.提示工程概述 提示工程(Prompt Engineering)是一门较新的学科,关注提示词开发和优化,帮助用户将大语言模型(Large Language Model, LLM)用于各场景和研究领域 ...

  8. Asp .Net Core 系列:Asp .Net Core 集成 NLog

    简介 NLog是一个基于.NET平台编写的日志记录类库,它可以在应用程序中添加跟踪调试代码,以便在开发.测试和生产环境中对程序进行监控和故障排除.NLog具有简单.灵活和易于配置的特点,支持在任何一种 ...

  9. 文心一言 VS 讯飞星火 VS chatgpt (197)-- 算法导论14.3 5题

    五.用go语言,对区间树 T 和一个区间 i ,请修改有关区间树的过程来支持新的操作 INTERVALSEARCH-EXACTLY(T,i) ,它返回一个指向 T 中结点 x 的指针,使得 x.int ...

  10. react中的setState是同步还是异步?react为什么要将其设计成异步?

    壹 ❀ 引 了解react的同学都知道,react遵守渲染公式UI=Render(state),状态决定了组件UI最终渲染的样子(props也可以理解为外部传入的状态),由此可见state对于reac ...