ldap認證(ldap認證是什么意思)

LDAP/AD認證

檢查測試ldap配置

如果從LDAP服務器中刪除了用戶，則該用戶也會在GitLab中被阻止。用戶將立即被阻止登錄。但是，LDAP檢查緩存時間為一小時（請參閱注釋），這意味著已經(jīng)登錄或通過SSH使用Git的用戶仍然可以訪問GitLab最多一個小時。在GitLab管理區(qū)域中手動阻止用戶以立即阻止所有訪問。

在集成AD后，為了兼容前期Gitlab創(chuàng)建的用戶賬號，在創(chuàng)建AD用戶賬號時只需保證 sAMAccountName，email 屬性與Gitlab用戶的 Urname、電子郵箱 的值一致即可（密碼可以不同），使用這種方式創(chuàng)建的AD賬戶登錄Gitlab時Gitlab不會創(chuàng)建新用戶。

Nginx Proxy Manager 是一個基于MIT協(xié)議的開源項目，這個項目實現(xiàn)了通過web界面管理控制一些Nignx常用的功能，比如重定向、反向代理、404、甚至提供了免費的SSL，Nginx-proxy-ldap-manager在Nginx Proxy Manager的基礎上添加了nginx-auth-ldap認證模塊。

docker-compo

管理界面端口: 81
默認管理員密碼：

使用AD認證時才配置Advanced，auth_ldap_rvers值與nginx.conf文件中的ldap_rver值對應

【1】 How to configure LDAP with GitLab CE
【2】 General LDAP Setup
【3】 nginx-auth-ldap
【4】 LDAP 認證
【5】 nginx-proxy-ldap-manager

openVPN使用ldap認證

注意：客戶端也可以使用證書和用戶名密碼雙認證，證書我們可以所有用戶使用統(tǒng)一的client證書，用戶名使用ldap認證

如果不想每次登陸openVPN都是用用戶名密碼，請查看我前面所寫的文章

metersphere集成LDAP實現(xiàn)統(tǒng)一身份認證

勾選“啟用LDAP認證”，由于我配置的用戶名就是uid，使用手機號登錄。

配置保存后，測試連接，并且測試登錄。

比較簡單，主要就對LDAP集成完畢。

ldap的用戶屬性和Metersphere本地用戶的屬性對應關系：
{"name": "description","email": "mail", "urname":"uid"}

Deepin系統(tǒng)基于LDAP統(tǒng)一認證

本人近期參與團隊做Deepin相關的項目時，需要如同微軟AD一樣對各終端進行統(tǒng)一認證管理，則本想著通過搜索網(wǎng)上相關資料和官方相關文檔一步一步操作很快搞定，卻發(fā)現(xiàn)網(wǎng)絡上Deepin的這塊指導文檔幾乎沒有。通過本人對Linux系統(tǒng)的理解摸索和查看Deepin dde-ssion-ui源碼資源，經(jīng)反復的測驗，最終走通了整個流程。為表示支持一下國產(chǎn)開源系統(tǒng)DeepinOS，決定整理分享一下相關指南以方便大家更快的使用DeepinOS深度性的功能，并集成應用到工作環(huán)境中去。
注：文檔不會對LDAP Server部署與配置操作進行說明，請查找網(wǎng)上相關資源，這方面比較多。另外本人應用的Deepin系統(tǒng)環(huán)境為V20社區(qū)版本。

默認此處安裝時有Console UI可以配置LDAP client，可以忽略或按流程進行連接LDAP Server端設置，如果選擇忽略則進行下面第二步操作。

這兩個為主要的LDAP客戶端認證配置文件，如果在第一步通過UI界面配置了應該會自動生成相關的配置，則不需要手動修改配置。
可以參看一下本人環(huán)境配置實例，注意"X"需要根據(jù)自己實際的LDAP服務器信息選擇協(xié)議與地址等配置(這方面配置可參照debian ldap客戶端安裝指南)。

/etc/pam.d/common-auth
/etc/pam.d/common-account
/etc/pam.d/common-password
/etc/pam.d/common-ssion-noninteractive

可參考一下本人環(huán)境的相關配置

配置文件位置
/usr/share/dde-ssion-ui/dde-ssion-ui.conf

1）首先檢驗保障LDAP SERVER正常性（這塊有l(wèi)daparch工具等）
2）開啟Deepin系統(tǒng)SSH服務，先通過SSH來驗證LDAP用戶與認證是否正常
3）tail -f /var/log/auth.log 測試時實時查看日志信息，如果出錯可以日志反饋信息排查問題點（本人遇到幾次LDAP服務器連接問題，日志上可以明顯提示出來并可查看是哪個進程報錯，如是libnss還是pam_ldap相關的信息等）

希望本文對各位有幫助，同時望有更多的技術愛好者用行動去支持國產(chǎn)化系統(tǒng)的發(fā)展。

Jenkins上集成多個LDAP服務器認證

1. 安裝LDAP插件
[ https://plugins.jenkins.io/ldap/]
2. 添加一個Jenkins LDAP配置
Server ：這里填寫LDAP rver的地址即可
root DN : 這里填寫你需要的ba路徑, 如果這里不填則勾選 Allow blank rootDN ,但是ur arch ba和group arch ba則不能為空，否則會報找不到object的錯誤
Ur arch ba ：可以不填，則會查找改root DN下的所有用戶
Ur arch filter :一般包含三種， uid={0}; cn={0}; sAMAccountName={0}, 如果不確定LDAP Server怎樣設置的，則可以依次嘗試
Group arch ba : 可以不填，則會查找改root DN下的所有組
Manager DN :認證查詢該LDAP服務器的用戶DN，包括該用戶的完整CN, OU, DC
Manager Password : 上述用戶的密碼
其他可以保持默認配置
3. 添加另外一個LDAP Server 的配置
點擊 Add Server , 可以按照上述配置繼續(xù)配置，這兩個可以是不同的配置
配置多個ldap時建議勾選上 Ignore if unavailable ，這樣如果其中一個ldap rver不可用，會嘗試使用下一些個ldap rver。
4. 配置過程中遇到的問題
4.1 錯誤日志：
Ur lookup: failed for ur "your_urname" LdapCallback;null; nested exception is javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: dc1.dc2.dc3:389 [Root exception is java.net.UnknownHostException: dc1.dc2.dc3]] LDAP Group lookup: could not verify.
其中your_urname是你試圖登陸的一個AD用戶； dc1.dc2.dc3是你設置的DC=dc1, DC=dc2, DC=dc3，我這里出現(xiàn)了該問題是因為LDAP rver我提供的是一個IP地址
原因：該問題是找不到 dc1.dc2.dc3該域名，請在AD上配置域名解析 your_LDAP_IP 到dc1.dc2.dc3或者臨時在系統(tǒng)的/etc/hosts文件中添加該域名解析

4.2 錯誤日志：
LdapCallback;LDAP respon read timed out, timeout ud:60000ms.; nested exception is javax.naming.NamingException: LDAP respon read timed out, timeout ud:60000ms.; remaining name ''
這個問題是因為connection pool的連接有問題，解決方案是在Jenkins的LDAP配置中添加一個環(huán)境變量 com.sun.jndi.ldap.connect.pool 設為 fal ， 具體可參考：[ https://guv.cloud/post/jenkins-and-ldap/]

4.3 我使用的是docker 容器跑的Jenkins，有一些有用的命令
docker logs --following container_name/ID 查看日志
docker exec --ur root -it container_name/ID /bin/bash 以root用戶登陸該容器

4.4 如果登陸速度較慢，可以enable cache來減少查詢LDAP rver的負載