公司内部会有许多第三方系统或服务,例如SVN、Git、V、Jira、Jenkins等等,每个系统都需要维护一份账号密码以支持用户认证,当然公司也会有许多的主机或服务器,需要开放登录权限给用户登录使用,每台主机需要添加登录的账号密码,这些操作不仅繁琐且不方便管理,密码记错或遗忘的情况时有发生。 引入一套支持各系统、服务、主机单点认证的服务就显得尤其迫切和重要。LDAP服务正是为此而生,且经过长时间市场检验,安全稳定,文档也比较丰富,方便上手。
可以通过以下三句话快速的认识一下LDAP:
上边来了一堆的名词解释,看的云里雾里,还不是很明白,怎么跟自己的组织架构对应起来呢?看看下边的图是不是清晰明了
上边介绍了LDAP只是一个协议,基于这个协议实现服务器端程序有OpenLDAP、Active Directory(微软的域控制器)等等。
部署环境:Debian 8.4
1.安装OpenLDAP,OpenLDAP服务端程序叫slapd
2.安装完成之后,会自动生成一个OpenLDAP的系统账号
3.生成OpenLDAP管理员账号的密码(后边修改配置文件需要使用)
4.新建OpenLDAP配置文件
配置文件重要参数说明(需要自己修改的,其他未提到的可以不修改):
5.删除原配置,生成新配置
6.重启OpenLdap
ACL访问指令的格式:
简单解释:通过access to约束我们访问的范围(what),通过by设定哪个用户(who)有什么权限(control)
ACL的详细配置还是比较复杂的,可以看下下边参考文档的第三篇,写的比较详细,这里都不再赘述。
线上ACL控制配置解析
为了用户能够自主修改密码,部署了lam给用户使用(见下文lam介绍)。希望能达到的效果是:
配置如下:
备份
参数说明:
还原
参数说明:
用了phpldapadmin和ldap-account-management(简称lam)两款web管理工具,强烈推荐lam,所以这里就不介绍其他的了
安装
1.安装ldap-account-management
2.浏览器访问
配置
lam的所有配置都可以在web端配置,不需要去服务器上修改一行代码,这个太好用了。
参考了太多网上优秀的文章,向他们致敬,下边列出的可能不全
版权声明:
本文来源网络,所有图片文章版权属于原作者,如有侵权,联系删除。
本文网址:https://www.mushiming.com/mjsbk/8189.html