1 OpenLDAP简介

1.1 LDAP介绍

1、什么LDAP

LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol）是一种用于访问分布式目录服务的网络协议。它提供了一种标准化的方法来查询和操作目录中的信息，这些信息通常以树状结构组织，用于存储用户、组织和其他实体的数据。

2、为什么要使用LDAP

LDAP是开放的Internet标准，市场上或者开源社区的绝大多数软件都支持LDAP协议。简单来说，LDAP协议最大的好处就是能统一管理用户密码，如果有新人报道，只需要创建一个用户就能登录公司的所有平台（gitlab、jumpserver、监控等等），离职时一键删除即可。

3、LDAP 的特点

LDAP有如下特定：

• 1.目录结构：LDAP 目录是树状结构组织，每个节点称为条目（Entry），每个条目包含属性（Attributes）。
• 2.基于标准的协议：LDAP 遵循一系列 RFC（Request for Comments）文档，确保了不同系统间的兼容性和互操作性。
• 3.分层命名空间：LDAP 使用分层的命名空间（称为 Distinguished Names, DN），用于唯一标识目录中的每个条目。
• 4.搜索和访问控制：LDAP 提供了强大的搜索功能，允许用户根据属性值查询条目。同时，它支持复杂的访问控制机制，以保护目录数据的安全。
• 5.可扩展性：LDAP 支持通过添加新的条目和属性来扩展目录结构，同时保持向后兼容性。

4、LDAP常用关键字

• dn（Distinguished Name）：区分名称，LDAP中每个条目都有自己的dn，dn是该条目在整棵树中的唯一标识，如同文件系统中，带路径的文件名就是DN。
• rdn（Relative dn）：相对区别名称，好比linux中的相对路径。
• dc（Domain Component）：域名组件。其格式是将完整的域名分成几部分，如将http://example.com变成dc=example,dc=com。
• uid（User ID）：用户ID，如 san.zhang。
• ou（Organization Unit）：组织单元。
• cn（Common Name）：公共名称。
• sn（surname）：姓氏。
• c（Country）：国家，如“CN”或者“US”。
• o（Organization）：组织名，如XXX银行，XXX部门，XXX公司等等。
  这里把dn当做用户唯一主键， cn是common name,应该等同于用户名，因为用户名必须唯一，通常为邮箱前缀，比如ryan.miao. sn作为姓氏， uid作为用户id。通常用户id也是唯一的。所以在使用ldap做认证的时候，大概逻辑如下：
• 配置ldap host, admin, admin pass
• 用户登录时传递username
• 读取配置的ldap信息，查询cn或者uid等于username的数据
• 取出第一个记录， 获得dn， 根据dn和password再次去ldap服务器认证。即必须保证cn或uid是全局唯一的

5、LDAP的objectClass

objectClass	含义
olcGlobal	全局配置文件类型， 主要是cn=config.ldif 的配置项
top	顶层的对象
organization	组织，比如公司名称，顶层的对象
organizationalUnit	重要， 一个目录节点，通常是group，或者部门这样的含义
inetOrgPerson	重要， 我们真正的用户节点类型，person类型， 叶子节点
groupOfNames	重要， 分组的group类型，标记一个group节点olcModuleList配置模块的对象

6、LADP使用场景

LDAP 通常用于以下场景：

• 身份验证：验证用户身份，允许或拒绝对系统资源的访问。
• 授权：管理用户权限，控制对目录数据的访问。
• 目录服务：存储和检索关于用户、组织结构和其他实体的信息。
• 单点登录（SSO）：作为身份提供者，允许用户使用一组凭据访问多个相关但独立的系统。

1.2 OpenLDAP介绍

1、什么OpenLDAP

OpenLDAP 是 LDAP 协议的一个开源实现，由 OpenLDAP 项目提供。它包括服务器、客户端库、工具和示例应用程序，用于构建和操作 LDAP 目录服务。OpenLDAP 可以运行在多种操作系统上，包括 Linux、Unix、Windows 等。

2、OpenLDAP特点

OpenLADP的特点如下：

• 1.开源：OpenLDAP 是开源软件，可以自由下载、使用和修改。
• 2.跨平台：OpenLDAP 可以在多种操作系统上运行，包括 Linux、Unix、Windows 等。
• 3.灵活性：OpenLDAP 支持自定义模式（Schemas），允许管理员定义新的数据类型和对象类，以满足特定的业务需求。
• 4.安全性：OpenLDAP 支持多种安全机制，包括 TLS/SSL 加密、SASL 认证等，确保数据传输的安全性。
• 5.性能：OpenLDAP 经过优化，能够处理大量的并发访问和复杂的搜索操作。
• 6.工具和库：OpenLDAP 提供了一系列工具和库，方便开发者集成和操作 LDAP 服务。

3、OpenLDAP的组件

OpenLDAP有四个主要组件:

• slapd -独立的LDAP守护进程和相关的模块和工具
• lloadd—独立的LDAP负载均衡代理服务器
• 实现LDAP协议和ASN.1基本编码规则的库
• 客户端软件：ldapsearch、ldapadd、ldapdelete等

此外，OpenLDAP项目还有许多子项目:

• Java 的LDAP类库
• JDBC-LDAP - Java JDBC-LDAP桥接驱动
• ldapc++ -用于c++的LDAP类库
• 内存映射数据库库

2 OpenLDAP安装

环境：Ubuntu 22.04
使用docker安装

mkdir ldap
cd ldapvim docker-compose.yaml
#######
version: '2'
services:openldap:image: osixia/openldap:1.5.0  ### 如果有私有仓库可以从自己的私有仓库拉取镜像container_name: openldaprestart: alwaysenvironment:LDAP_LOG_LEVEL: "256"LDAP_ORGANISATION: "test"   ### 您的组织名称LDAP_DOMAIN: "smile.test"    ### 公司域名LDAP_BASE_DN: "dc=smile,dc=test"   ### 根据域名组成LDAP_ADMIN_PASSWORD: "smile123"   ### 密码自己来设置LDAP_CONFIG_PASSWORD: "smile123"LDAP_READONLY_USER: "false"#LDAP_READONLY_USER_USERNAME: "readonly"#LDAP_READONLY_USER_PASSWORD: "readonly"LDAP_RFC2307BIS_SCHEMA: "false"LDAP_BACKEND: "mdb"#LDAP_TLS: "true"#LDAP_TLS_CRT_FILENAME: "smile.test.pem"#LDAP_TLS_KEY_FILENAME: "smile.test.key"#LDAP_TLS_DH_PARAM_FILENAME: "dhparam.pem"#LDAP_TLS_CA_CRT_FILENAME: "ca.crt"#LDAP_TLS_ENFORCE: "false"#LDAP_TLS_CIPHER_SUITE: "SECURE256:-VERS-SSL3.0"# LDAP_TLS_VERIFY_CLIENT: "demand"LDAP_REPLICATION: "false"#LDAP_REPLICATION_CONFIG_SYNCPROV: 'binddn="cn=admin,cn=config" bindmethod=simple credentials="$$LDAP_CONFIG_PASSWORD" searchbase="cn=config" type=refreshAndPersist retry="60 +" timeout=1 starttls=critical'#LDAP_REPLICATION_DB_SYNCPROV: 'binddn="cn=admin,$$LDAP_BASE_DN" bindmethod=simple credentials="$$LDAP_ADMIN_PASSWORD" searchbase="$$LDAP_BASE_DN" type=refreshAndPersist interval=00:00:00:10 retry="60 +" timeout=1 starttls=critical'#LDAP_REPLICATION_HOSTS: "#PYTHON2BASH:['ldap://ldap.example.org','ldap://ldap2.example.org']"KEEP_EXISTING_CONFIG: "false"LDAP_REMOVE_CONFIG_AFTER_SETUP: "true"#LDAP_SSL_HELPER_PREFIX: "ldap"tty: truestdin_open: truevolumes:- /opt/openldap/ldap:/var/lib/ldap- /opt/openldap/slapd.d:/etc/ldap/slapd.d- /opt/openldap/certs:/container/service/lapd/assets/certsports:- "389:389"- "636:636"# For replication to work correctly, domainname and hostname must be# set correctly so that "hostname"."domainname" equates to the# fully-qualified domain name for the host.domainname: "smile.test"hostname: "ldap-server"phpldapadmin:image: osixia/phpldapadmin:latestcontainer_name: phpldapadminrestart: alwaysenvironment:PHPLDAPADMIN_LDAP_HOSTS: "openldap"   ### 如果部署后登录不进去有可能是这里出了问题，直接换为部署openldap服务的公网IP试试PHPLDAPADMIN_HTTPS: "false"ports:- "50081:80"depends_on:- openldapself-service-password:container_name: self-service-passwordimage: tiredofit/self-service-password:latestrestart: alwaysports:- "50080:80"environment:- LDAP_SERVER=ldap://openldap:389- LDAP_BINDDN=cn=admin,dc=smile,dc=test- LDAP_BINDPASS=XXXX- LDAP_BASE_SEARCH=dc=smile,dc=test- MAIL_FROM=it@open.com- MAIL_FROM_NAME=账号自助服务平台- SMTP_DEBUG=0- SMTP_HOST=smtp.qiye.aliyun.com- SMTP_USER=it@open.com- SMTP_PASS=jYda52VZ8Ftw1111- SMTP_PORT=465- SMTP_SECURE_TYPE=ssl- SMTP_AUTH_ON=true- NOTIFY_ON_CHANGE=truevolumes:- /etc/localtime:/etc/localtime- /opt/openldap/self-service-password/htdocs:/www/ssp- /opt/openldap/self-service-password/logs:/www/logsdeploy:resources:limits:memory: 2Greservations:memory: 512M### 运行
docker-compose up -d

登录地址：ip:50081
用户名：LDAP_BINDDN cn=admin,dc=smile,dc=test
密码：LDAP_ADMIN_PASSWORD

3 简单使用

3.1 创建用户

这里先在dc下面创建一个ou=group和一个ou=person。暂时先不按部分区分，如果想再按部分区分则就先创建一个ou，再在该ou下创建一个ou=group即可。

1、创建ou

提交后可以看到如下：

创建 group 和 person 两个ou

2、创建Group

在ou=group下创建dev

3、创建User Account

在ou=people下创建用户

4、 为用户填写其他属性

为用户添加真实姓名和邮箱（有些系统需要用户的这两个信息！比如gitlab）

再添加一个属性，此时选择：Email

配置完成后的效果：