大家好，今天给各位分享LDAP构建统一认证服务的一些知识，其中也会对进行解释，文章篇幅可能偏长，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在就马上开始吧！

英文名

中文名

评论

DN

杰出的名字

尊贵的名字

表示条目在目录树中从根开始的绝对路径，是条目的唯一标识符。

直流

域名

域名

欧

组织单位

组织单位

最多可以有四级，每级最多32个字符，并且可以是中文

CN

通用名

用户名

LDAP的构建和使用

1. 安装ldap服务端及工具集

slapd是服务器程序，ldap-utils是工具集（ladpmodify、ldapadd等）

apt 安装slapd ldap-utils

2. 重设密码和DN等信息

dpkg-重新配置slapd

3. 配置支持memberOf模块

由于有些应用需要memberOf支持，所以我们需要在开头添加这个模块，以便后面使用的时候可以直接使用。本节包含参考链接。

首先，您需要创建三个新文件。您可以创建一个新目录，即memberof_config.ldif、refint1.ldif 和refint2.ldif。特别注意的是，在执行此操作之前，您需要获取几个参数。

查询ldap配置db文件。 ldapsearch -Q -LLL -Y 外部-H ldapi:///-b cn=config dn | grep db 查询ldap 模块路径。查找/usr/-name ldap

新建memberof_config.ldif，注意将olcDatabase和olcModulePath修改为上面查询的结果。

# vim memberof_config.ldifdn: cn=module,cn=configcn: moduleobjectClass: olcModuleListolcModuleLoad: memberofolcModulePath: /usr/lib/ldapdn: olcOverlay={0}memberof,olcDatabase={1}mdb,cn=configobjectClass333 60 olcConfigobjectClass3336 0 olcMemberOfobjectClass: olcOverlayConfigobjectClass: topolcOverlay: memberofolcMemberOfDangling:ignoreolcMemberOfRefInt: TRUEolcMemberOfGroupOC: groupOfNamesolcMemberOfMemberAD: memberolcMemberOfMemberOfAD : memberOfnew refint1 .ldif。

# vim refint1.ldifdn: cn=module{1},cn=configadd: olcmoduleloadolcmoduleload: refint 创建refint2.ldif。您还需要注意修改olcDatabase 以匹配上述查询的db 结果。

# vim refint2.ldifdn: olcOverlay={1}refint,olcDatabase={1}mdb,cn=configobjectClass: olcConfigobjectClass: olcOverlayConfigobjectClass: olcRefintConfigobjectClass: topolcOverlay: {1}refintolcRefintAttribute: memberof member manager Owner 运行以下命令来配置模块成员。

ldapadd -Q -Y EXTERNAL -H ldapi:///-f memberof_config.ldif 运行以下命令加载并配置refint 模块。

ldapmodify -Q -Y EXTERNAL -H ldapi:///-f refint1.ldifldapadd -Q -Y EXTERNAL -H ldapi:///-f refint2.ldif

4. 测试模块是否添加成功（生产环境不需要执行）

首先添加两个节点来存储用户和用户组。创建一个新的配置文件add_nodes.ldif。注意将dn的值修改为自己的值。

# vim add_nodes.ldifdn: ou=people,dc=zhushurui,dc=cnobjectClass:organizationalUnitou: Peopledn: ou=groups,dc=zhushurui,dc=cnobjectClass:organizationalUnitou:Groups执行以下命令使配置生效。注意dc被修改，输入密码后执行成功。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_nodes.ldif 添加用户，首先设置用户密码。

slappasswd -h {SHA} -s my_secret_password 结果如下：

{SHA}M6XDJwA47cNw9gm5kXV1uTQuMoY=新建配置文件add_user.ldif如下，添加用户，特别注意修改你的dn。

# vim add_user.ldifdn: uid=john,ou=people,dc=zhushurui,dc=cncn: John DoegivenName: Johnsn: Doeuid: johnuidNumber: 5000gidNumber: 10000homeDirectory: /home/johnmail3336 john.doe @example.comobjectClass: topobjectClass: posixAccountobjectClass: ShadowAccountobjectClass: inetOrgPersonobjectClass:organizationalPersonobjectClass: personloginShell: /bin/bashuserPassword: { SHA }M6XDJwA47cNw9gm5kXV1uTQuMoY=执行以下命令添加用户。您需要将dc和cn修改为您的管理员帐户。默认情况下，你只需要修改dc，然后输入你的管理员密码即可。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_user.ldif新建一个配置文件add_group.ldif，添加用户组，特别注意修改你的dn和member。

# vim add_group.ldifdn: cn=mygroup,ou=groups,dc=zhushurui,dc=cnobjectClass: groupofnamescn: mygroupdescription: All usersmember: uid=john,ou=people,dc=zhushurui,dc=cn执行以下命令添加用户组，这也需要待修改。 dc 和cn。输入密码后，添加成功。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_group.ldif 接下来查询用户是否配置了memberof模块。

ldapsearch -x -LLL -H ldap:///-b uid=john,ou=people,dc=zhushurui,dc=cn dn memberof

5. 安装phpldapadmin

phpldapadmin 可用于管理ldap。执行以下命令安装软件。

此时访问http://ip/phpldapadmin/即可访问apt install phpldapadmin。我们需要修改配置文件。

vim /etc/phpldapadmin/config.php 注意以下设置。第一句表示不会允许匿名用户登录，第二句表示只允许管理员登录，第三句会修改登录页面默认填写的用户名，第四句会让phpldapadmin识别默认dn。

$servers-setValue(‘login’,’anon_bind’,false);$servers-setValue(‘login’,’allowed_dns’,array(‘cn=admin,dc=zhushurui,dc=cn’));$servers- setValue(‘login’,’bind_id’,’cn=admin,dc=zhushurui,dc=cn’);$servers-setValue(‘服务器’,’base’,array(‘dc=zhushurui,dc=cn’) ）；

6. 使用phpldapadmin新增用户和用户组

7. 安装和使用ldap-account-management（可选）

尝试后不建议使用。好像存在字段不全等问题。执行以下命令进行安装。

apt install ldap-account-manager 访问http://ip/lam 登录系统。然后按照下面的动画完成初始配置。初始化密码为lam。

配置服务器设置。

配置帐户。

——珀西·C 撰写

2021 年12 月14 日

用户评论

看我发功喷飞你

终于不用再看各种系统账号密码了，LDAP搭建统一认证真是好主意！安全性更高，管理也方便多了。期待更多企业能采用这种方案，提升用户体验。

    有7位网友表示赞同！

如梦初醒

这篇文章写的真好！以前一直想做一套统一认证服务，现在看了这篇，终于知道怎么下手了。感觉难度不大，周末就试试看吧！

    有6位网友表示赞同！

哭着哭着就萌了°

我公司也在考虑搭建 LDAP 认证，但是安全性一直是心头大事。这篇文章介绍的那些安全策略，真的很实用，可以参考下。

    有8位网友表示赞同！

孤城暮雨

LDAP 搭建确实复杂，需要专业工程师才能搞定吧？普通程序员不太具备操作经验啊。

    有18位网友表示赞同！

陌颜

LDAP 的好处多，统一认证、权限控制都相当完善，不过实现起来还是比较考验技术水平的。建议对 LDAP 有疑虑的用户，可以先从开源方案入手，逐步学习和实践。

    有19位网友表示赞同！

々爱被冰凝固ゝ

搭建一套 LDAP 服务确实可以提高很多效率，但需要投入时间和资源来维护，对于一些小公司来说，成本可能很大啊！

    有15位网友表示赞同！

闲肆

这篇文章重点介绍了 LDAP 的架构以及常用配置，我觉得写的蛮详细的。我之前对 LDAP 的了解比较少，通过阅读这篇博文提升了不少认识。

    有6位网友表示赞同！

花开丶若相惜

LDAP 搭建的确是一件好事，可以减少密码管理的麻烦，同时提高账户安全，对于公司来说也是一件划算的事！

    有19位网友表示赞同！

温柔腔

安装和配置这些高层次的架构真是不容易啊，建议以后把一些基础工具的使用方法也放进来，更适合初学者学习。

    有5位网友表示赞同！

荒野情趣

LDAP 的使用场景很多，不仅限于统一认证，还可以用来实现用户目录管理、权限授权等功能，这个博文让我有了不少新的启发！

    有5位网友表示赞同！

南初

对于大型企业来说，搭建 LDAP 确实是更好的解决方案，能够有效管理大量的用户信息和权限。但是对于小型公司来说，可能还是一些开源轻型的方案更合适。

    有18位网友表示赞同！

冷月花魂

之前用过几次 LDAP，感觉它的性能比较慢，尤其是查询用户数据的时候，有时会很卡顿。不知道这篇文章提到的一些优化方案能否解决这个问题？

    有20位网友表示赞同！

将妓就计

LDAP 的学习门槛还是挺高，需要一定的 IT 基础知识才能理解文章内容，希望以后能加入一些更通俗易懂的图解教程！

    有13位网友表示赞同！

汐颜兮梦ヘ

统一认证是现在企业网络安全建设中非常重要的内容，搭建 LDAP 服务确实是一个好方案，可以有效提升整个系统的安全性。

    有13位网友表示赞同！

旧爱剩女

这篇文章写的太棒了！详细介绍了 LDAP 的优势、架构和配置方法，让我对这个技术有了更深入的了解！

    有12位网友表示赞同！

非想

LDAP 的优势有很多，但是实现起来还是比较复杂，需要仔细规划和调试才能确保正常运行。需要注意的是安全性问题，要做好防护措施才能避免被攻击。

    有9位网友表示赞同！

无关风月

搭建 LDAP 一直是我的心愿，现在终于找到了这篇文章，学习一下！

    有8位网友表示赞同！

微信名字

这篇文章写得太详细了，我看了好久才消化完，不过感觉受益匪浅，谢谢作者！

    有15位网友表示赞同！

恰十年

LDAP 虽然可以提供统一认证，但是也要关注其他安全措施，比如用户行为分析、入侵检测等等，才能真正确保系统的安全性。

    有8位网友表示赞同！