部署 OpenLDAP 对接到 DataEase 实现统一用户管理

1 使用场景

随着企业中开源平台越来越多，如：、、、等，账号维护成为了一项繁琐的工作。 这时候就需要一个统一账号维护的平台。 每个人只需要一个帐户。 通用平台。 大多数开源平台都支持LDAP，因此只要搭建LDAP服务，并将企业内部的这些平台接入LDAP，就可以实现统一的账户管理。 接下来我们将部署连接，实现用户统一账号登录。

2 安装部署

本部署方案采用安装方式，如果你的服务器没有安装，请先安装

yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 
yum makecache fast 
yum -y install docker-ce
mkdir -p /etc/docker 
tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://j6o4qczl.mirror.aliyuncs.com"]
}
EOF
systemctl daemon-reload
systemctl restart docker

部署LDAP

docker run \
-p 389:389 \
-p 636:636 \
--name de-ldap \
--network bridge \
--hostname deldap.com \
--env LDAP_ORGANISATION="deldap" \
--env LDAP_DOMAIN="deldap.com" \
--env LDAP_ADMIN_PASSWORD="123456" \
--volume /opt/ldap/certificates:/container/service/slapd/assets/certs \
--env LDAP_TLS_CRT_FILENAME=ldap.crt \
--env LDAP_TLS_KEY_FILENAME=ldap.key \
--env LDAP_TLS_CA_CRT_FILENAME=ca.crt \
--detach osixia/openldap

注释如下： -p 389:389 TCP/IP 访问端口 -p 636:636 SSL 连接端口 --name de-ldap 容器名称为 de-ldap -- 连接默认网络 -- 设置容器主机name to --env= "" 配置LDAP组织名称 --env="" 配置LDAP域名 --env="" 配置LDAP密码

部署

docker run \
-d \
--privileged \
-p 8989:80 \
--name myldapadmin \
--env PHPLDAPADMIN_HTTPS=false \
--env PHPLDAPADMIN_LDAP_HOSTS=192.168.1.7 \
--detach osixia/phpldapadmin

注释如下： -d 以单独模式启动容器 -- 以特权模式启动（使用该参数，里面的root才有真正的root权限，否则里面的root只是外面的普通用户。） --env = false 禁用HTTPS - -env STS =192.168.1.7 配置的IP或域名，我安装ldap的机器IP是192.168.1.7。

3 在LDAP中创建用户 3.1 访问

浏览器输入的服务器IP+端口

点击页面“登录”即可登录； 登录 DN: CN=admin,DC=,DC=com :

3.2 创建ou并导入用户信息

创建ou

按图操作，点击dc，然后点击“a child entry”；

​

选择“：单位”；

​

输入一个ou名称，ou代表组织单位，可以理解为一个组，我创建的north和east分别代表华东和华北两个组；

​

创建用户

dn: uid=xiaomei,ou=north,dc=deldap,dc=com
ou: north
uid: xiaomei
sn: 小美
cn: xiaomei
givenName: xiaomei
displayName: xiaomei
mail: xiaomei@esgyn.local
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
userpassword: 123456

上述信息包含用户信息：

uid: 显示名：小梅 所属 ou: 北 邮箱：@esgyn.local 密码：

复制以上信息，点击界面“”，粘贴；

​

最后点击“”完成导入；

可以使用上述方法创建多个ou和用户，如下图：

4 配置 LDAP

使用admin用户登录，系统管理-->系统配置-->认证设置-->LDAP设置，点击“编辑”填写LDAP相关配置信息；

​

LDAP 地址 （部署 LDAP 服务的地址）
ldap://192.168.1.7:389
绑定 DN （填写 admin 的 DN）
cn=admin,dc=deldap,dc=com
用户 OU （多个 ou 可以用 | 分割，以下配置是 north 和 east 两个组织）
ou=north,dc=deldap,dc=com|ou=east,dc=deldap,dc=com
用户过滤器 （获取用户信息到 DataEase，以下是获取 用户 和 邮箱信息）
(|(uid={0})(mail={0}))
LDAP 属性映射 （DataEase 用户字段对应 LDAP 用户字段）
 {"userName":"cn","nickName":"sn","email":"mail"}

配置完成后，点击“测试连接”并“保存”；

5 登录测试

打开登录页面，选择“LDAP”，输入LDAP中的用户名和密码，点击登录

​

登录成功，确认用户信息

至此，LDAP配置和对接的操作就已经介绍完了。

6 术语表

DN：名称类似于 DNS。 DN和DNS的区别在于：组成DN的每个值都有一个属性类型，例如：如果是dns，那么表示为：dc=,dc=com，级别越高越靠后。 登录名 cn=admin,dc=,dc=com 是 DN。

CN：名称通用名称对象的属性是CN。 例如，如果用户的名字是：张三，那么“张三”就是CN。

OU：组织单位o和ou都是ldap目录结构的属性。 创建目录时可以选择新建o、ou等，配置我们公司交换设备ldap时，是否配置ou、o或cn等，取决于ldap服务器对应目录的属性。

o：组织名称

uid：对象的属性是uid。 例如，我们公司某员工的姓名是：zsq，他的UID是：。 通过ldap查询时，可以根据cn或uid。 配置ldap查询时，需要考虑使用哪种查询方式。

DC：DC类似于dns中的每个元素，例如用“.”分隔的两个单词。 符号可以看作是两个DC。