openldap 搭建

2023-01-09

企业级 OpenLDAP 账号统一管理应用
- LDAP 安装、配置、启动
- LDAP 日志配置
- LDAP ssl/tls 配置
- 访问控制
- 域组织架构、创建 OU/GROUP/USER
- 图形和命令工具使用
- LDAP 自助密码服务
- LDAP 认证其它应用服务

1.0 部署环境

系统版本	主机名	IP地址	备注
centos 7.9	ldap	10.10.10.114	ldap_version: 2.4.44

2.0 LDAP 理论

2.1 LDAP 支持的数据库

// OpenLDAP 默认以 Oracle 公司的 BDB 作为后端数据库,是一个开源数据库。关于 OpenLDAP 的几种数据库类型如下:
    1. bdb 数据库里6.0.20以后不在支持 OpenLDAP (编译安装默认是开启的)
    2. hdb 是bdb的升级版,centos7 yum 安装默认支持 hdb (编译安装默认是开启的)
    3. OpenLDAP 内置mdb数据库 (mdb参考: http://www.openldap.org/pub/hyc/mdb-paper.pdf)

2.2 OpenLDAP 目录服务优点

// OpenLDAP 是一个跨平台的标准互联网协议，它基于X.500 标准协议。
// OpenLDAP支持多主复制，镜像复制，并可以使用TLS、SASL 的安全认证机制，实现数据加密传输。
// OpenLDAP 可以基于第三方开源软件实现负载(LVS、HAProxy)及高可用性解决方案
// OpenLDAP 使用简单的文本字符串(LDIF)与数据库进行交互(2.4.44版本后没有conf文件了)。
// OpenLDAP 可以实现用户的集中认证管理。
// OpenLDAP 开源，轻量，功能易扩展。

2.3 OpenLDAP 属性介绍

// c: country ,国家名，一般用两位字母，如 c=zh
// cn: common name, 对象名称，如果指人，需用全名, 如 cn: sanzhang
// dc: domain component, 指域名的一部分，如 dc=example,dc=com
// givenName: 指一个人的名字，不能包含姓
// I: 指一个城市名或地理区域的名字，如 I: Shanghai
// mail: 电子邮件，如 mail: [email protected]
// o: organizationName, 组织名，如 o=ink8s
// ou: organizationalUnitName, 组织单元名称， 如 ou=people, dc=example, dc=com
// sn: surname, 指一个人的姓，如 sn: zhang
// uid: userid , 通常指某个用户的登陆名，不同于linux的uid,该uid指的是一个用户的uid号。如 uid:jack
// telephoneNumber: 电话号码，一般需要带所在国家的代码。如 +86 18111111111

3.0 LDAP 安装、配置、启动

3.1 yum 安装 OpenLDAP

# yum -y install openldap openldap-servers openldap-clients compat-openldap openldap-servers-sql openldap-devel migrationtools
    // 目前yum安装最新版，只能使用 2.4.44版本
    openldap    			# OpenLDAP 服务端和客户端用的库文件
    openldap-servers            	# 服务端程序
    openldap-clients            	# 客户端程序
    openldap-devel    			# 开发包，可选
    openldap-servers-sql            	# 支持 sql 模块，可选
    migrationtools    			# 实现 OpenLDAP 用户及用户组的添加，导入系统账户，可选 compat-openldap: OpenLDAP 兼容性库

# tree /etc/openldap/slapd.d
slapd.d
├── cn=config    			# 全局目录
│   ├── cn=schema    			# 各个模块目录
│   │   └── cn={0}core.ldif    		# 核心配置
│   ├── cn=schema.ldif    		# YUM 安装默认的 schema 文件在此路径,每一个 schema 都有一个对应的 ".ldif" 文件
│   ├── olcDatabase={0}config.ldif    	# 全局配置
│   ├── olcDatabase={-1}frontend.ldif   # 前端
│   ├── olcDatabase={1}monitor.ldif    	# 监控
│   └── olcDatabase={2}hdb.ldif    	# 数据库 ( yum 默认使用 hdb 数据库)
└── cn=config.ldif

3.2 备份 ldap.d 目录

# cd /etc/openldap/
# mv slapd.d slapd.d.bak
# mkdir slapd.d
# chown -R ldap.ldap slapd.d

3.3 配置

LDAP 配置文件修改有 2 种方式
- 1 使用 LDIF 命令执行方式修改数据库。配置直接生效,无需重启 LDAP(需要熟悉各种API查询修改等方式)
- 2 修改主配置文件,重启 LDAP 使配置生效(备份迁移方便,易恢复) – 本文采用第 2 种方式部署

3.3.1 生成超级管理员加密秘钥

1 2	# slappasswd -s ink8s.com > pass.txt # 将加密密码保存到文件中 // {SSHA}6R0SCKnAp3iGNajuNYxVTJeQ/T8QoCsj

3.3.2 LDAP 主配置文件修改

# cp /usr/share/openldap-servers/slapd.ldif /etc/openldap/

// 将 /etc/openldap/schema 目录中的 .ldif 文件全部加入进去以备后面调用
# cat /etc/openldap/slapd.ldif
...

dn: cn=schema,cn=config
objectClass: olcSchemaConfig
cn: schema

include: file:///etc/openldap/schema/core.ldif
include: file:///etc/openldap/schema/collective.ldif
include: file:///etc/openldap/schema/corba.ldif
include: file:///etc/openldap/schema/cosine.ldif
include: file:///etc/openldap/schema/duaconf.ldif
include: file:///etc/openldap/schema/dyngroup.ldif
include: file:///etc/openldap/schema/inetorgperson.ldif
include: file:///etc/openldap/schema/java.ldif
include: file:///etc/openldap/schema/misc.ldif
include: file:///etc/openldap/schema/nis.ldif
include: file:///etc/openldap/schema/openldap.ldif
include: file:///etc/openldap/schema/pmi.ldif
include: file:///etc/openldap/schema/ppolicy.ldif

...

dn: olcDatabase=config,cn=config
objectClass: olcDatabaseConfig
olcDatabase: config
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,c
 n=auth" manage by * none

dn: olcDatabase=monitor,cn=config
objectClass: olcDatabaseConfig
olcDatabase: monitor
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,c
 n=auth" read by dn.base="cn=admin,dc=ink8s,dc=com" read by * none
 
dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: hdb
olcSuffix: dc=ink8s,dc=com
olcRootDN: cn=admin,dc=ink8s,dc=com
olcRootPW: {SSHA}r6pEynXijTqlbO6rBMlaKmIabNjx2lfg
olcDbDirectory: /var/lib/ldap
olcDbIndex: objectClass eq,pres
olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub

3.3.3 启动

初始化配置、赋权、启动

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
# chown -R ldap.ldap /var/lib/ldap						# /var/lib/ldap就是BerkeleyDB数据库默认存储的路径
# slapadd -n 0 -F slapd.d -l slapd.ldif
# chown -R ldap.ldap slapd.d
# systemctl start slapd.service && systemctl enable slapd.service
# netstat -nlput | grep slapd

upload successful

4.0 LDAP 日志配置

4.1 开启 LDAP 日志

// LDAP 主配置文件修改特别注意,空行表示为上下段配置的分隔。如果上下段配置中间有"#"连接,则视为一段整体配置
# cat /etc/openldap/slapd.ldif
...
dn: cn=config
objectClass: olcGlobal
cn: config
olcArgsFile: /var/run/openldap/slapd.args
olcPidFile: /var/run/openldap/slapd.pid
olcLogLevel: stats
...

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
#olcModulepath: /usr/lib/openldap
olcModulepath:  /usr/lib64/openldap

upload successful

4.2 LDAP 日志切割

# mkdir -p /var/log/ldap
# touch /var/log/ldap/ldap.log
# chown -R ldap.ldap /var/log/ldap/
// 切割日志配置文件
# cat /etc/logrotate.d/openldap
/var/log/ldap/ldap.log {
    prerotate
        /usr/bin/chattr -a /var/log/ldap/ldap.log
    endscript
    compress
    copytruncate
    dateext
    delaycompress
    notifempty
    rotate 100
    size 50M
    postrotate
        /usr/bin/chattr +a /var/log/ldap/ldap.log
    endscript
}

4.2.1 日志级别介绍

upload successful

1	# slapd -d ? # 命令查看日志级别

4.2.2 定义日志文件位置

# cat /etc/rsyslog.conf
...
local4.*                                                /var/log/ldap/ldap.log        # 添加到74行处

# systemctl restart rsyslog.service

4.2.3 重启配置

// 脚本方式重启
# cat ldap_init_config.sh 
#!/usr/bin/bash

rm -rf /etc/openldap/slapd.d/*
slapadd -n -0 -F /etc/openldap/slapd.d -l /etc/openldap/slapd.ldif
chown -R ldap.ldap /etc/openldap/slapd.d
systemctl restart slapd

# chmod +x ldap_init_config.sh 
# sh -x ldap_init_config.sh
# cat /etc/openldap/slapd.d/cn=config.ldif | grep "olcLogLevel"            # 查看日志等级

upload successful

5.0 LDAP ssl/tls 配置

5.1 创建自签证书

# cd /etc/openldap/certs/
// 生成ca证书
# openssl genrsa -out rootCA.key 2048
# openssl req -x509 -new -nodes -subj "/C=CN/ST=GangDong/L=ShenZhen/O=ldap/OU=SA/CN=ldap-ca"  -key rootCA.key -sha256 -days 1024 -out rootCA.pem

// 生成ldap证书请求
# openssl genrsa -out ldap.key 2048
# openssl req -new -subj "/C=CN/ST=GangDong/L=ShenZhen/O=ldap/OU=SA/CN=ldap.ink8s.com" -key ldap.key -out ldap.csr

// 签发ldap证书
# openssl x509 -req -in ldap.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ldap.crt -days 3650 -sha256

# chown -R ldap.ldap /etc/openldap/certs/

5.2 TLS 配置

# systemctl stop slapd
# cat /etc/openldap/slapd.ldif
...
# TLS 配置
olcTLSCACertificatePath: /etc/openldap/certs
olcTLSCACertificateFile: /etc/openldap/certs/rootCA.pem
olcTLSCertificateFile: /etc/openldap/certs/ldap.crt
olcTLSCertificateKeyFile: /etc/openldap/certs/ldap.key
olcTLSVerifyClient: never

upload successful

5.3 开启 ldaps

# cat /etc/sysconfig/slapd
SLAPD_URLS="ldapi:/// ldap:/// ldaps:///"            # 追加 ldaps 配置

// 重启配置
# sh -x /etc/openldap/ldap_init_config.sh 
# netstat -nlput | grep slapd

upload successful

6.0 访问控制

6.1 关闭匿名访问

1
2
3

# cat /etc/openldap/slapd.ldif
...
olcDisallows: bind_anon

upload successful

6.2 赋权运维相关账号

# cat /etc/openldap/slapd.ldif
...

dn: olcDatabase=frontend,cn=config
objectClass: olcDatabaseConfig
objectClass: olcFrontendConfig
olcDatabase: frontend
olcAccess: to attrs=userPassword,shadowLastChange                        # 允许用户修改自己的密码
      by dn.children="ou=Admin,dc=ink8s,dc=com" write                    # OU组,专门的管理员组
      by anonymous auth                                                  # 匿名用户需要认证
      by self write                                                      # 允许自己写入自己[只对自己有操作权限]
      by * none                                                          # 其它人没有权限
olcAccess: to dn.subtree="dc=ink8s,dc=com"                               # 定义管理员权限
      by dn="cn=syncuser1,ou=Admin,dc=ink8s,dc=com" read                 # 同步账号，用于主主部署时用的账号
      by dn="cn=search,ou=Admin,dc=ink8s,dc=com" read              	 # 搜索权限，对接应用认证时用的账号
      by group.exact="cn=ldapadmin,ou=Admin,dc=ink8s,dc=com" write       # 定义条目管理员,匹配这个组的
      by users read                                                      # 认证后的用户是可以读
olcAccess: to dn.subtree=""                                              # 让客户端工具也有schema的权限
      by * read

...

dn: olcDatabase=config,cn=config
objectClass: olcDatabaseConfig
olcDatabase: config
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage 
      by group.exact="cn=configadmin,ou=Admin,dc=ink8s,dc=com" write
      by * none

# sh -x /etc/openldap/ldap_init_config.sh

7.0 域组织

# ldapadd
    -x				# 简单的认证
    -W				# 交互式输入密码
    -w				# 非交互式;后面直接跟password
    -H				# ldapuri，ldapapi的方式修改或者添加操作
    -h				# 后面跟ip地址,或者主机名
    -D				# "cn=Manager,dc=ojtest,dc=com"
    -v				# 显示详细结果
    -f				# FILENAME.ldif
    -a				# 新增条目
    -p				# 后面跟端口(明文:389)、(密文:636)
    -P				# 版本

7.1 创建基本域

# cat config_bash_domain.ldif 
dn: dc=ink8s,dc=com
objectClass: dcObject
objectClass: organization
o: zaik8s
dc: ink8s

# ldapadd -x -D "cn=admin,dc=ink8s,dc=com" -W -f config_bash_domain.ldif # 输入超管密码(ink8s.com)

7.2 创建 OU、USER

7.2.1 LDAP SERVER 配置 TLS

// 创建 OU 使用的是 636 方式需要有根证书认证，所以需要先配置认证才能创建 OU
// 需将 dns 解析配置好 [10.10.10.114	ldap.ink8s.com]

// 配置 linux 客户端 tls/ssl [自建证书方式]
# cat /etc/openldap/ldap.conf 
BASE    dc=ink8s,dc=com
URI     ldaps://ldap.ink8s.com

TLS_CACERTDIR	/etc/openldap/certs
TLS_CACERT	/etc/openldap/certs/rootCA.pem

TLS_CACERTDIR   /etc/openldap/certs
TLS_CACERT      /etc/openldap/certs/rootCA.pem
TLS_CERT        /etc/openldap/certs/ldap.crt
TLS_KEY         /etc/openldap/certs/ldap.key

TLS_REQCERT     demand

7.2.2 创建 OU

# cat create_ou.ldif
dn: ou=Admin,dc=ink8s,dc=com
objectClass: organizationalUnit
objectClass: top
ou: Admin

dn: ou=People,dc=ink8s,dc=com
objectClass: organizationalUnit
objectClass: top
ou: People
# ldapadd -x -D "cn=admin,dc=ink8s,dc=com" -W -f create_ou.ldif

7.2.3 创建组

# cat create_group.ldif
dn: cn=sa,ou=Admin,dc=ink8s,dc=com
objectClass: posixGroup
cn: app
gidNumber: 10000

dn: cn=dev,ou=People,dc=ink8s,dc=com
objectClass: posixGroup
cn: dev
gidNumber: 10001

dn: cn=test,ou=People,dc=ink8s,dc=com
objectClass: posixGroup
cn: test
gidNumber: 10002

# ldapadd -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -f create_group.ldif

7.2.4 创建用户

关键字	英文全称	含义
dc	Domain Component	域名的部分。如: ink8s.com 变成 dc=ink8s,dc=com
uid	User ID	用户 ID 。如: weixj01，必须唯一
ou	Organization Unit	组织单位，类似Linux文件系统中的子目录，它是一个容器对象。组织单位可以包含其它各种对象
cn	Common Name	公共名称
sn	Surname	姓
dn	Distinguished Name	唯一辨别明，类似于Linux文件系统的绝对路径，每个对象有一个唯一的名称。如: uid=weixj01,cn=ops,ou=peopel,dc=ink8s,dc=com，在一个目录树种，DN是唯一的
rdn	Relative dn	相对辨别名，类似于文件系统中的相对路径，与目录树无关。如: uid=weixj01 或 cn=weixj01
c	Country	国家，如: CN 或 US
o	Organization	组织名

# cat create_user.ldif 
dn: uid=zhangsan01,cn=sa,ou=Admin,dc=ink8s,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
homeDirectory: /home/zhangsan01
userPassword: {SSHA}xpA/QSbjynobY4//QPB9N1uLAGh0Opzh	# 使用slappasswd生成
loginShell: /usr/bin/bash
cn: zhangsan01
uidNumber: 1001
gidNumber: 10000
sn: zhang
mail: [email protected]
postalAddress: ShenZhen
mobile: 13888888888

dn: uid=dev01,cn=dev,ou=People,dc=ink8s,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
homeDirectory: /home/dev01
userPassword: {SSHA}xpA/QSbjynobY4//QPB9N1uLAGh0Opzh
loginShell: /usr/bin/bash
cn: dev01
uidNumber: 1100
gidNumber: 10001
sn: dev01
mail: [email protected]
postalAddress: ShenZhen
mobile: 13888888888

dn: uid=test01,cn=test,ou=People,dc=ink8s,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
homeDirectory: /home/test01
userPassword: {SSHA}xpA/QSbjynobY4//QPB9N1uLAGh0Opzh
loginShell: /usr/bin/bash
cn: test01
uidNumber: 1200
gidNumber: 10002
sn: test01
mail: [email protected]
postalAddress: ShenZhen
mobile: 13888888888

# ldapadd -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -f create_user.ldif

7.2.5 赋予运维人员账号配置管理员权限

赋权 zhangsan01 配置管理员账号后,则此账号有权限增删”组”和”用户”

# cat /etc/openldap/slapd.ldif 
...
olcAccess: to dn.subtree="dc=ink8s,dc=com"
      by dn="cn=syncuser1,ou=Admin,dc=ink8s,dc=com" read
      by dn="cn=search,ou=Admin,dc=ink8s,dc=com" read
      by dn="uid=zhangsan01,cn=sa,ou=Admin,dc=ink8s,dc=com" write	# zhangsan01 配置管理员权限
      by group.exact="cn=ldapadmin,ou=Admin,dc=ink8s,dc=com" write 
      by users read
...

8.0 LDAP 客户端管理命令

8.1 客户端管理命令增、删、改、查

ldapadd 添加 user/ou
ldapdelete 删除 user/ou
ldapmodify 修改用户字段信息
ldapmodrdn 修改 uid 信息
ldappasswd 修改 user 密码
ldapsearch 查询

8.1.1 ldapadd 添加 user/ou

添加用户

# ldapadd
  -x				# 简单的认证
  -W				# 交互式输入密码
  -w				# 非交互式;后面直接跟 password
  -H				# ldapuri，ldapapi的方式修改或者添加操作
  -h				# 后面跟 ip 地址,或者主机名
  -D				# "cn=Admin,dc=ink8s,dc=com"
  -v				# 显示详细结果
  -f				# FILENAME.ldif
  -a				# 新增条目
  -p				# 后面跟端口(明文:389)、(密文:636)
  -P				# 版本

# ldapadd -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 -f create_user.ldif

添加 ou

// ldif 方式添加
# cat create_ou.ldif
dn: ou=Admin,dc=ink8s,dc=com
objectClass: organizationalUnit
ou: Admin
# ldapadd -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 -f create_ou.ldif

8.1.2 ldapdelete 删除 user/ou

删除用户

# ldapdelete
  -x				# 简单的认证
  -W				# 交互式输入密码
  -w				# 非交互式;后面直接跟password
  -H				# ldapuri，ldapapi的方式修改或者添加操作
  -h				# 后面跟ip地址,或者主机名
  -D				# "cn=Manager,dc=ojtest,dc=com"
  -v				# 显示详细结果
  -f				# FILENAME.ldif
  -a				# 新增条目
  -p				# 后面跟端口(明文:389)、(密文:636)
  -P				# 版本

// 命令删除用户方式 1
# ldapdelete -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 "uid=test01,cn=test,ou=People,dc=ink8s,dc=com"

// 命令删除用户方式 2
# cat del_user.ldif
uid=test01,cn=test,ou=People,dc=ink8s,dc=com
# ldapdelete -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 -f del_user.ldif

删除 ou

// 删除ou命令方式1
# ldapdelete -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 "ou=People,dc=ink8s,dc=com"

// ldif 方式删除
# cat del_ou.ldif 
ou=People,dc=ink8s,dc=com
# ldapdelete -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 -f del_ou.ldif

8.1.3 ldapmodify 修改用户字段信息

ldapmodify 修改用户条目

ldapmodify
  cn=config
    changtype: add/delete/replace
      # add		添加
      # delete		删除
      # replace		修改

# 将用户的 /bin/bash 修改为 /sbin/nologin
# cat modify_user.ldif
dn: uid=test01,cn=test,ou=People,dc=ink8s,dc=com
changetype: modify
replace: loginShell
loginShell: /sbin/nologin
# ldapmodify -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 -f modify_user.ldif

8.1.4 ldapmodrdn 修改 uid 信息

ldapmodrdn 修改rdn --- 删除原有uid

# 将用户 test01 修改为 test10 ;uid 变化
# cat chrdn_user.ldif
dn: uid=test01,cn=test,ou=People,dc=ink8s,dc=com
changetype: modrdn
newrdn: uid=test10								# 修改为 test10
deleteoldrdn: 1									# 将原来的 test01 删除
# ldapmodify -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 -f chrdn_user.ldif

修改rdn --- 不删除原有uid

# 将用户 test10 修改为 test20
ldapmodrdn -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 "uid=test10,cn=test,ou=People,dc=ink8s,dc=com" "uid=test20"
    # "uid=test10,cn=test,ou=People,dc=ink8s,dc=com"				# 默认是 test10
    # "uid=test20"								# 修改为 test30
    # -r					# 如果修改uid后,使用rdn方式需要删除原有uid,则使用-r选项

8.1.5 ldappasswd 修改 user 密码

ldappasswd 修改用户密码

ldappasswd
    -s					# 指定新的密码,明文方式可以 histroy 查看到
    -S					# 指定新的密码,需手动输入密码,比较安全
ldappasswd -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 "uid=test01,cn=test,ou=People,dc=ink8s,dc=com" -s "Aa123456"
ldappasswd -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 "uid=test01,cn=test,ou=People,dc=ink8s,dc=com" -S

# 不指定任何密码修改选项,自动生成新的密码
ldappasswd -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 "uid=test01,cn=test,ou=People,dc=ink8s,dc=com"

# 根据旧密码产生新的密码
ldappasswd -x -D "cn=admin,dc=ink8s,dc=com" -w "ink8s.com" -h10.10.10.114 "uid=test01,cn=test,ou=People,dc=ink8s,dc=com" -a iLRMte54

8.1.6 ldapsearch 查询

查询

1
2
3

ldapsearch -x -LLL uid			# 查看所有uid条目
ldapsearch -x -LLL uid=patrick		# 查看某一个用户的 uid,则仅显示此 uid 的详细信息
ldapsearch -x -LLL uid=patrick +	# 显示此用户的隐藏属性

9.0 LDAP 图形化工具

9.1 windows绿色小工具 LdapAdmin

upload successful

9.2 Mac OS 管理工具 ApacheDirectoryStudio

9.2.1 389 端口配置

upload successful

9.2.2 636 端口配置

upload successful

10.0 LDAP 自助密码服务

# docker pull docker.io/ltbproject/self-service-password:latest

// php 文件配置
# cat /data/apps/ldap/ssp.conf.php 
<?php
$ldap_url = "ldap://ldap.ink8s.com";
$ldap_starttls = false;
$ldap_binddn = "uid=search01,cn=apps,ou=Admin,dc=ink8s,dc=com";			# 新建 search01 用户并赋予配置管理员权限
$ldap_bindpw = "ink8s.com";
$ldap_base = "ou=People,dc=ink8s,dc=com";
$ldap_login_attribute = "uid";
$ldap_fullname_attribute = "cn";
$ldap_filter = "(&(objectClass=person)($ldap_login_attribute={login}))";

$hash = "clear";

$keyphrase = "sdsg354[df(-4dsdfdfasdsvvsdsgfskkajfpaxcz/zcmai";

# 定义最短密码
$pwd_min_length = 6;
# 多少位小写字母
$pwd_min_lower = 0;
# 多少位大写字母
$pwd_min_upper = 0;
# 多少位数字
$pwd_min_digit = 0;
# 多少位特殊字符
$pwd_min_special = 0;
# 密码正则表达式
$pwd_special_chars = "^a-zA-Z0-9";
# 检查密码是否与登录密码相同
$pwd_diff_login = true;
# 密码应包含多少种组合
$pwd_complexity = 2;
# 检查密码是否已在https://haveibeenpwned.com数据库中泄露
$use_pwnedpasswords = false;
# 是否显示密码更改策略
$pwd_show_policy = "always";
# 密码更改策略显示位置
$pwd_show_policy_pos = "above";

# 保持会话标识符时长（秒）
$token_lifetime = "3600";

## Mail
# 关闭邮件修改密码功能
$use_tokens = false;
$mail_attribute = "mail";
$mail_address_use_ldap = false;
$mail_from = "[email protected]";
$mail_from_name = "Self Service Password";
$mail_signature = "";
# Notify users anytime their password is changed
$notify_on_change = false;
# PHPMailer configuration (see https://github.com/PHPMailer/PHPMailer)
$mail_sendmailpath = '/usr/sbin/sendmail';
$mail_protocol = 'smtp';
$mail_smtp_debug = 0;
$mail_debug_format = 'error_log';
$mail_smtp_host = 'smtp.mxhichina.com';
$mail_smtp_auth = true;
$mail_smtp_user = '[email protected]';
$mail_smtp_pass = 'inadm.com';
$mail_smtp_port = 25;
$mail_smtp_timeout = 30;
$mail_smtp_keepalive = false;
$mail_smtp_secure = 'tls';
$mail_smtp_autotls = true;
$mail_contenttype = 'text/plain';
$mail_wordwrap = 0;
$mail_charset = 'utf-8';
$mail_priority = 3;
$mail_newline = PHP_EOL;
?>

// 启动
# docker run --privileged=true --name self-svc-pwd -itd --restart=always -p 80:80 -v /data/apps/ldap/ssp.conf.php:/var/www/conf/config.inc.local.php ltbproject/self-service-password:latest

浏览器访问

1	http://ldap.ink8s.com

upload successful

11.0 LDAP 认证

11.1 GitLab 认证 LDAP

11.1.1 GitLab 认证 LDAP 无 TLS 认证

// gitlab 版本: gitlab-ce-15.5.3-ce.0.el7.x86_64.rpm
// 官方文档: https://docs.gitlab.cn/jh/administration/auth/ldap/#ssl-%E9%85%8D%E7%BD%AE
            https://docs.gitlab.cn/jh/administration/auth/ldap/
// gitlab.rb 配置文件中也有配置ldap认证的链接

# vim /etc/gitlab/gitlab.rb                                  # 以下配置复制的官方示例粘贴进去的
 493 gitlab_rails['ldap_enabled'] = true
 494 gitlab_rails['prevent_ldap_sign_in'] = false            # false 允许 ldap web登录; true 禁用 ldap web登录
 495 
 496 gitlab_rails['ldap_servers'] = {
 497 'main' => {
 498   'label' => 'LDAP',
 499   'host' =>  'ldap.ink8s.com',
 500   'port' => 389,
 501   'uid' => 'uid',
 502   'bind_dn' => 'cn=admin,dc=ink8s,dc=com',
 503   'password' => 'ink8s.com',
 504   'timeout' => 10,
 505   'active_directory' => false,
 506   'allow_username_or_email_login' => false,
 507   'block_auto_created_users' => true,                    # true 新用户将需要管理员同意后方可登录; 默认为 false,表示只要ldap创建了用户,就同步到gitlab。需要先配置为false在配置为true,需要先有ldap用户被导入
 508   'base' => 'dc=ink8s,dc=com',
 509   'user_filter' => '',
 510   'lowercase_usernames' => false,
 511 
 512   # EE Only
 513   'group_base' => '',
 514   'admin_group' => '',
 515   'external_groups' => [],
 516   'sync_ssh_keys' => false
 517   }
 518 }

# vim /var/opt/gitlab/gitlab-rails/etc/gitlab.yml
526   ldap:
527     enabled: true
528     sync_time:
529     prevent_ldap_sign_in: false
530     servers:

# gitlab-ctl reconfigure

# 如果 Standard 用户名同 LDAP 用户名一样,则可以使用 LDAP 用户登录 Gitlab,并且权限保持不变

upload successful

11.1.2 GitLab 认证 LDAP TLS 认证

# vim /etc/gitlab/gitlab.rb                                  # 以下配置复制的官方示例粘贴进去的
 493 gitlab_rails['ldap_enabled'] = true
 494 gitlab_rails['prevent_ldap_sign_in'] = false
 495 
 496 gitlab_rails['ldap_servers'] = {
 497 'main' => {
 498   'label' => 'LDAP',
 499   'host' =>  'ldap.ink8s.com',
 500   'port' => 636,                                           # 636 加密端口
 501   'uid' => 'uid',
 502   'encryption' => 'simple_tls',                            # 采用的 simple_tls 方式
 503   'verify_certificates' => true,
 504   'bind_dn' => 'cn=admin,dc=ink8s,dc=com',
 505   'password' => 'ink8s.com',
 506   'tls_options' => {
 507     'ca_file' => '/etc/gitlab/trusted-certs/rootCA.pem',    # ldap 的根证书
 508     'ssl_version' => '',
 509     'ciphers' => '',
 510     'cert' => '',
 511     'key' => ''
 512   },
 513   'timeout' => 10,
 514   'active_directory' => false,
 515   'allow_username_or_email_login' => false,
 516   'block_auto_created_users' => true,
 517   'base' => 'dc=ink8s,dc=com',
 518   'user_filter' => '',
 519   'lowercase_usernames' => false,
 520 
 521   # EE Only
 522   'group_base' => '',
 523   'admin_group' => '',
 524   'external_groups' => [],
 525   'sync_ssh_keys' => false
 526   }
 527 }
 
 # vim /var/opt/gitlab/gitlab-rails/etc/gitlab.yml 
   ldap:
    enabled: true
    sync_time:
    prevent_ldap_sign_in: false
# gitlab-ctl reconfigure
# gitlab-ctl status

upload successful

11.2 OpenVPN 认证 LDAP [OVPN证书+LDAP用户密码认证]

11.2.1 插件下载

官方插件下载

1	// openvpn-auth-ldap 插件: https://github.com/threerings/openvpn-auth-ldap

11.2.2 编译安装

编译安装 openvpn-auth-ldap 插件

# yum -y install re2c libtool openldap openldap-devel openvpn openvpn-devel gcc-objc gcc pcre-devel openssl-devel
# unzip openvpn-auth-ldap-master.zip
# ./regen.sh
# ./configure --with-openldap=/usr/ --with-openvpn=/usr/ CFLAGS="-fPIC" OBJCFLAGS="-std=gnu11"
# make && make install

11.2.3 ldap 认证配置文件

ldap 认证文件配置

# cat /etc/openvpn/auth/auth-ldap.conf 
<LDAP>
	URL		ldaps://ldap.ink8s.com
	BindDN		"uid=search01,cn=apps,ou=Admin,dc=ink8s,dc=com"
	Password	ink8s.com
	Timeout		15
	TLSEnable	no
	FollowReferrals yes
	TLSCACertFile	/usr/local/etc/ssl/rootCA.pem		# ldap 根证书文件
	TLSCACertDir	/usr/local/etc/ssl/
	TLSCertFile	/usr/local/etc/ssl/ldap.crt		# ldap 证书
	TLSKeyFile	/usr/local/etc/ssl/ldap.key		# ldap 证书
</LDAP>

<Authorization>
	BaseDN		"ou=People,dc=ink8s,dc=com"
	SearchFilter	"uid=%u"
	RequireGroup	false
</Authorization>

11.2.4 OpenVPN 主配置文件增加参数

# cat /data/apps/openvpn/openvpn-server.conf
...
plugin /usr/local/lib/openvpn-auth-ldap.so "/etc/openvpn/auth/auth-ldap.conf"
verify-client-cert					# 客户端需通过证书认证
# client-cert-not-required				# 客户端可以不通过证书认证
...

# systemctl restart openvpn

upload successful

11.2.5 OpenVPN 客户端证书文件增加参数

1
2
3

// openvpn 的客户端证书必须创建好。例: dev01.ovpn 客户端证书
// openvpn 客户端证书文件末尾追加此参数: auth-user-pass
// 使用 LDAP 用户账号登录 OpenVPN 客户端连接工具,

11.2.6 登录验证

upload successful

11.3 OpenVPN 认证 LDAP [OVPN证书+LDAP用户密码+OTP认证]

OVPN证书+LDAP用户密码+OTP认证基于2个插件支持
- openvpn-auth-ldap 插件安装,参考目录 11.2
- openvpn-otp 插件, 参考目录 11.3

11.3.1 插件下载

1	// openvpn-otp 插件: https://github.com/evgeny-gridasov/openvpn-otp

11.3.2 编译安装

# yum -y install autoconf automake libtool* libssl-dev penvpn-devel gcc pcre-devel openssl-devel
# unzip openvpn-otp-master.zip 
# cd openvpn-otp-master
# ./autogen.sh
# ./configure --prefix=/usr
# make install

11.3.3 OpenVPN 主配置文件增加参数

// 完整配置文件如下
# cat /data/apps/openvpn/openvpn-server.conf
...
plugin "/usr/lib/openvpn/openvpn-otp.so" "password_is_cr=1 otp_secrets=/etc/openvpn/auth/otp-secrets"
...
reneg-sec 0		# reneg-sec 服务器端会定期检查认证情况，默认3600秒一小时，使用 OTP 的话尽量时间长一些，否则客户端需要重新输入用户名密码和OTP一次性密码

upload successful

11.3.4 客户端证书增加参数

...
auth-nocache
static-challenge "Enter Google Authenticator Token" 1
reneg-sec 0	# 如果客户端配置的时间范围大于服务端的时间范围,则以服务端的时间范围为准

upload successful

11.3.5 生成二维码

// 生成二维码
# yum -y install python36
# yum -y install python-pip3 qrencode
# pip3 install qrcode pyotp
# python3
>>> import pyotp
>>> import qrcode
>>> salt = pyotp.random_base32()
>>> mail = "[email protected]"
>>> m = pyotp.totp.TOTP(salt).provisioning_uri(mail)
>>> print(m)
otpauth://totp/dev01%40ink8s.com?secret=IRXNU4B7EH5WBXIONC2A7ZWZVPTXHIFG

// 生成二维码(浏览器端、移动端均可以使用)
# qrencode -o dev01.png -t png -s 20 "otpauth://totp/dev02%40ink8s.com?secret=IRXNU4B7EH5WBXIONC2A7ZWZVPTXHIFG"

11.3.6 Firefox 安装 “Authenticator Extension”插件

火狐浏览器直接输入插件名称然后“回车”

upload successful

搜索出来，第一个就是此插件，进入此插件页面

upload successful

添加“Add to Firefox”插件

upload successful

添加到浏览器中 “Add to Firefox”

upload successful

添加到扩展管理

upload successful

浏览器右上角出现了插件小图标

upload successful

11.3.7 火狐浏览器添加动态验证功能

1. Firefox浏览器右上角选择“Authenticatior Extension”插件图标
2. 选择小铅笔图标[编辑]

upload successful

3.	点击 "+"图标

upload successful

4.	选择 "手动输入: IRXNU4B7EH5WBXIONC2A7ZWZVPTXHIFG"

upload successful

5.	添加完成后

upload successful

11.3.8 otp 认证配置文件

1
2
3

// 对 Google Authenticator 使用 sha1/base32，无需 pin
# cat /etc/openvpn/auth/otp-secrets 
dev01 otp totp:sha1:base32:IRXNU4B7EH5WBXIONC2A7ZWZVPTXHIFG::udid *

// 客户端6位数动态验证码必须与OpenVPN服务端6位数验证码一直

# yum -y install oathtool					# 验证一致性,OpenVPN服务端安装此软件
# oathtool --totp -b IRXNU4B7EH5WBXIONC2A7ZWZVPTXHIFG		# 将结果同客户端验证码对比确认是否一致

11.3.9 ldap 认证配置文件

# cat /etc/openvpn/auth/auth-ldap.conf 
<LDAP>
	URL		ldaps://ldap.ink8s.com
	BindDN		"uid=search01,cn=apps,ou=Admin,dc=ink8s,dc=com"
	Password	ink8s.com
	Timeout		15
	TLSEnable	no
	FollowReferrals yes
	TLSCACertFile	/usr/local/etc/ssl/rootCA.pem
	TLSCACertDir	/usr/local/etc/ssl/
	TLSCertFile	/usr/local/etc/ssl/ldap.crt
	TLSKeyFile	/usr/local/etc/ssl/ldap.key
</LDAP>

<Authorization>
	BaseDN		"ou=People,dc=ink8s,dc=com"
	SearchFilter	"uid=%u"
	RequireGroup	false
        PasswordIsCR    true
</Authorization>

11.3.10 登录验证 – Mac

upload successful

11.3.11 登录验证 – Windows

upload successful

11.4 Jenkins 认证 LDAP

11.4.1 Jenkins 环境

1 2	jenkins_version: 2.346.2 os_version: centos 7.9

11.4.2 安装插件和配置备份

// 配置 Jenkins 认证 LDAP 之前，先备份 config.xml 文件,防止 Jenkins 权限配置不正确导致无法登录 Jenkins
# cp /root/.jenkins/config.xml /opt/			# 认证失败可还原此配置并重启 Jenkins 恢复

// Jenkins 插件安装
1. "Role-based Authorization Strategy" 			# 插件,用于 Jenkins 访问控制权限设置
2. "LDAP"						# LDAP 插件,接入 LDAP 认证的插件

11.4.3 Jenkins 认证配置

// Dashboard --> 系统管理 --> 全局安全配置:
    安全域: 选择 "LDAP"
    服务器: 填写 ldap 的 IP:PORT 或者 域名(例如: ldap.ink8s.com)
    root DN: 表示指定搜索范围
    User search filter: uid={0} ; 如果 ldap 设置的是 cn,则将 uid 改为 cn
    Group membership: 选择此项即可
    Manager DN: 填写管理员用户或者具有搜索权限的指定账号

jenkins 配置截图 1

upload successful

jenkins 配置截图 2

upload successful

jenkins 配置截图 3

upload successful

jenkins 配置截图 4
此处不详细讲解授权策略

upload successful

本文作者： [email protected]
本文链接： https://www.ink8s.com/2023/01/09/openldap-搭建/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！

1.0 部署环境

2.0 LDAP 理论

2.1 LDAP 支持的数据库

2.2 OpenLDAP 目录服务优点

2.3 OpenLDAP 属性介绍

3.0 LDAP 安装、配置、启动

3.1 yum 安装 OpenLDAP

3.2 备份 ldap.d 目录

3.3 配置

3.3.1 生成超级管理员加密秘钥

3.3.2 LDAP 主配置文件修改

3.3.3 启动

4.0 LDAP 日志配置

4.1 开启 LDAP 日志

4.2 LDAP 日志切割

4.2.1 日志级别介绍

4.2.2 定义日志文件位置

4.2.3 重启配置

5.0 LDAP ssl/tls 配置

5.1 创建自签证书

5.2 TLS 配置

5.3 开启 ldaps

6.0 访问控制

6.1 关闭匿名访问

6.2 赋权运维相关账号

7.0 域组织

7.1 创建基本域

7.2 创建 OU、USER

7.2.1 LDAP SERVER 配置 TLS

7.2.2 创建 OU

7.2.3 创建组

7.2.4 创建用户

7.2.5 赋予运维人员账号配置管理员权限

8.0 LDAP 客户端管理命令

8.1 客户端管理命令 增、删、改、查

8.1.1 ldapadd 添加 user/ou

8.1.2 ldapdelete 删除 user/ou

8.1.3 ldapmodify 修改用户字段信息

8.1.4 ldapmodrdn 修改 uid 信息

8.1.5 ldappasswd 修改 user 密码

8.1.6 ldapsearch 查询

9.0 LDAP 图形化工具

9.1 windows绿色小工具 LdapAdmin

9.2 Mac OS 管理工具 ApacheDirectoryStudio

9.2.1 389 端口配置

9.2.2 636 端口配置

10.0 LDAP 自助密码服务

11.0 LDAP 认证

11.1 GitLab 认证 LDAP

11.1.1 GitLab 认证 LDAP 无 TLS 认证

11.1.2 GitLab 认证 LDAP TLS 认证

11.2 OpenVPN 认证 LDAP [OVPN证书+LDAP用户密码认证]

11.2.1 插件下载

11.2.2 编译安装

11.2.3 ldap 认证配置文件

11.2.4 OpenVPN 主配置文件增加参数

11.2.5 OpenVPN 客户端证书文件增加参数

11.2.6 登录验证

11.3 OpenVPN 认证 LDAP [OVPN证书+LDAP用户密码+OTP认证]

11.3.1 插件下载

11.3.2 编译安装

11.3.3 OpenVPN 主配置文件增加参数

11.3.4 客户端证书增加参数

11.3.5 生成二维码

11.3.6 Firefox 安装 “Authenticator Extension”插件

11.3.7 火狐浏览器添加动态验证功能

11.3.8 otp 认证配置文件

11.3.9 ldap 认证配置文件

11.3.10 登录验证 – Mac

11.3.11 登录验证 – Windows

11.4 Jenkins 认证 LDAP

11.4.1 Jenkins 环境

11.4.2 安装插件和配置备份

11.4.3 Jenkins 认证配置

8.1 客户端管理命令增、删、改、查