企业实战｜LDAP对接Gitlab+Wiki+Jumpserver+Open***

时间 2021-08-13

标签 php git docker shell 数据库 vim windows 浏览器安全服务器栏目 Git 繁體版

原文原文链接

不少公司内部都有Gitlab，Open***，Jumpserver，Jira，Jenkins，内部各类运维系统等，每一个新员工入职，运维小马就须要一个挨一个的登陆到每一个系统的后台给新员工开通帐号，设置密码，而后员工离职，小马还得去到每一个系统后台去关闭帐号，想一想多浪费时间，那么能不能维护一套帐号，对全部系统生效呢？固然有，那就是 LDAP。

LDAP 全称轻量级目录访问协议（英文：Lightweight Directory Access Protocol），是一个运行在 TCP/IP 上的目录访问协议。目录是一个特殊的数据库，它的数据常常被查询，可是不常常更新。其专门针对读取、浏览和搜索操做进行了特定的优化。目录通常用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。好比 DNS 协议即是一种最被普遍使用的目录服务。php

LDAP 中的信息按照目录信息树结构组织，树中的一个节点称之为条目（Entry），条目包含了该节点的属性及属性值。条目均可以经过识别名 dn 来全局的惟一肯定1，能够类比于关系型数据库中的主键。好比 dn 为 uid=ada,ou=People,dc=xinhua,dc=org 的条目表示在组织中一个名字叫作 Ada Catherine 的员工，其中 uid=ada 也被称做相对区别名 rdn。git

一个条目的属性经过 LDAP 元数据模型（Scheme）中的对象类（objectClass）所定义，下面的表格列举了对象类 inetOrgPerson（Internet Organizational Person）中的一些必填属性和可选属性。docker

OpenLDAP 是 LDAP 协议的一个开源实现。LDAP 服务器本质上是一个为只读访问而优化的非关系型数据库。它主要用作地址簿查询（如 email 客户端）或对各类服务访问作后台认证以及用户数据权限管控。（例如，访问 Samba 时，LDAP 能够起到域控制器的做用；或者 Linux 系统认证时代替 /etc/passwd 的做用。）shell

LDAP 术语

Entry (or object) 条目(或对象):LDAP中的每一个单元都认为是条目。数据库

dn:条目名称。vim

ou:组织名称。windows

dc:域组件。例如，likegeeks.com是这样写的:dc=likegeeks,dc=com。浏览器

cn:通用名称，如人名或某个对象的名字安全

1、安装OpenLDAP

# 环境说明：
OpenLdap服务器地址：100.111.21.68

一、使用docker方式安装配置OpenLDAP

# 建立文件夹：
shell> mkdir -p /data/openldap/{config,database}

# 拉取openldap镜像
shell > docker pull osixia/openldap:1.2.2

# 启动openldap服务
shell> docker run -d --name ldap-service --hostname ldap-service -p 389:389 -p 689:689 -v /data/openldap/database:/var/lib/ldap -v /data/openldap/config:/etc/ldap/slapd.d --env LDAP_ORGANISATION="magedu.com" --env LDAP_DOMAIN="magedu.com" --env LDAP_ADMIN_PASSWORD="magedupassword" --env LDAP_TLS=false --detach osixia/openldap:1.2.2

# 启动phpldapadmin图形管理工具
shell > docker pull osixia/phpldapadmin:0.7.2

shell > docker run --name phpldapadmin-service -p 6443:443 -p 6680:80 --hostname phpldapadmin-service --link ldap-service:magedu.com --env PHPLDAPADMIN_LDAP_HOSTS=magedu.com --env PHPLDAPADMIN_HTTPS=false --detach osixia/phpldapadmin:0.7.2

二、访问phpldapAdmin：

打开浏览器访问：http://100.111.21.68:6680

帐号：cn=admin,dc=magedu,dc=com
密码：magedupassword

三、登陆phpLdapAdmin添加ldap帐号

1.在浏览器中打开http://100.111.21.68:6680

2.点击【建立新条目】.

3.点击【Generic: Postfix Group】.

4. 输入【users】, 点击【建立对象】,建立一个组

5. 点击【提交】

6. 下一步添加用户，点击刚才所建立的组【users】

7. 点击【建立一个子条目】

8. 点击【Generic: User Account】按钮。

9.根据本身的状况，添加信息而后点击【建立对象】

10. 点击【提交】

11.提交完成后，点击新增的用户，点击右侧【增长新的属性】

12.选择属性【Email】

13. 添好Email地址

14.点击【Update Object】

2、OpenLDAP+Gitlab配置

# 环境说明：
GitLab: 10.2.5
OpenLdap: 1.2.2

一、修改Gitlab配置文件

shell> vim /home/git/gitlab/config/gitlab.yml

ldap:
enabled: true
servers:
    label: 'LDAP'
    host: '100.111.21.68'
    port: 389
    uid: 'cn'
    encryption: 'plain' # "start_tls" or "simple_tls" or "plain"
    verify_certificates: false
    ca_file: ''
    ssl_version: ''

    bind_dn: 'cn=admin,dc=magedu,dc=com'
    password: 'magedupassword'
    timeout: 10
    active_directory: false
    allow_username_or_email_login: true
    block_auto_created_users: false
    base: 'dc=magedu,dc=com'
    user_filter: ''
    attributes:
      username: ['cn', 'uid', 'userid', 'sAMAccountName']
      email: ['mail', 'email', 'userPrincipalName']
      name:       'cn'
      first_name: 'givenName'

last_name: 'sn'服务器

# 配置参数说明：
host：ldap服务器地址
port：ldap服务端口
uid：以哪一个属性做为验证属性，能够为uid、cn等，咱们使用uid
method：若是开启了tls或ssl则填写对应的tls或ssl，都没有就填写plain
bind_dn：search搜索帐号信息的用户完整bind（须要一个有read权限的帐号验证经过后搜索用户输入的用户名是否存在）
password：bind_dn用户的密码，bind_dn和password两个参数登陆ldap服务器搜索用户
active_directory：LDAP服务是不是windows的AD，咱们是用的openldap，这里写false
allow_username_or_email_login：是否容许用户名或者邮箱认证，若是是则用户输入用户名或邮箱均可
base：从哪一个位置搜索用户，例如容许登陆gitlab的用户都在ou gitlab里，name这里能够写ou=gitlab,dc=domain,dc=com
filter：添加过滤属性，例如只过滤employeeType为developer的用户进行认证（employeeType=developer）

重启gitlab服务，看到页面已经有ldap的登陆选项了

3、OpenLDAP+Confluence(Wiki)配置

环境说明：
Confluence: 5.6.6
OpenLdap: 1.2.2

一、使用管理员登陆Confluence

依次点击：通常配置-->用户&安全-->用户目录–添加目录-->LDAP-->Openldap

名称：LDAP服务器
目录类型：OpenLDAP
主机名：100.111.21.68
端口：389
帐号：cn=admin,dc=magedu,dc=com
密码：magedupassword
基础DN：dc=magedu,dc=com
附加用户DN：不用写
附加组DN：不用写

- LDAP权限：只读，且为本地组
（从LDAP服务器上检索到的用户、用户组及成员，且没法在Confluence中修改。你能够将LDAP的用户添加到维护在Confluence内部目录的用户组中。）

默认组成员：confluence-users
（首次登录系统后，将添加的组成员列表，且每一个成员以逗号分开。若是不存在该组，则会自动建立这个组。这里意思是openldap的用户登陆confluence的时候默认加入到哪一个组里面，confluence-users组是confluence的默认普通用户权限组，登陆后会自动加入到这个组里面）

- 设置用户模式
用户名属性：cn
用户名RDN属性：cn
用户名字属性：givenName
用户姓氏属性：sn
用户显示名属性：displayName
用户邮箱: Email
用户密码属性: Password
用户密码加密：MD5

二、配置完成后，点击快速测试

- 若是测试成功，会提示：
测试成功
这里仅测试此服务器可链接且认证信息正确。保存设置后您可点击 浏览目录 页面的 “测试” 链接能够进行更全面的测试.

4、OpenLDAP+Jumpserver配置

一、登陆jumpserver设置ldap

- 系统设置 - LDAP设置

LDAP地址：ldap://100.111.21.68:389
绑定DN：cn=admin,dc=magedu,dc=com
密码：magedupassword
用户OU：dc=magedu,dc=com
用户过滤器：(cn=%(user)s)
LDAP属性映射：{"username": "cn", "name": "sn", "email": "mail"}

启用LDAP认证：打勾

二、配置完成后，重启jumpserver

重启jumpserver容器使用ldap用户直接登陆系统

5、Openldap+Open***配置

# 环境说明：
OpenLdap: 1.2.2
open***-2.4.6
open***-auth-ldap-2.0.3

一、安装open***须要的依赖包

shell> yum install open***-auth-ldap

二、编辑配置文件

#编辑ldap文件
shell> vi /etc/open***/auth/ldap.conf

<LDAP>
        URL             ldap://100.111.21.68:389
        BindDN          cn=admin,dc=magedu,dc=com
        Password        magedupassword
        Timeout         15
        TLSEnable       no
        FollowReferrals no
</LDAP>

<Authorization>
        BaseDN          "dc=magedu,dc=com"
        SearchFilter    "cn=%u"
        RequireGroup    false

        <Group>
                BaseDN          "cn=users,dc=magedu,dc=com"
                SearchFilter    "cn=***"
                MemberAttribute memberUid
        </Group>
</Authorization>


# 编辑open***的配置文件/etc/open***/server.conf：
shell> vim /etc/open***/server.conf

port 1194
proto tcp
dev tun
ca keys/ca.crt
cert keys/***01.magedu.com.crt
key keys/***01.magedu.com.key  # This file should be kept secret
dh keys/dh2048.pem
server 100.15.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.0.0.0 255.0.0.0"
push "route 100.64.0.0 255.192.0.0"
client-to-client
keepalive 10 120
persist-key
persist-tun
status /var/log/open***/open***-status.log
log         /var/log/open***/open***.log
log-append  /var/log/open***/open***.log
verb 4

plugin /usr/lib64/open***/plugin/lib/open***-auth-ldap.so "/etc/open***/auth/ldap.conf"
client-cert-not-required

三、客户端的配置调整以下：

client
dev tun

proto tcp

# ***外网ip

remote 61.20.90.111 1194
# nobind
persist-key
persist-tun

<ca>
-----BEGIN CERTIFICATE-----
MIIEsDCCA5igAwIBAgIJAOToyUe9fEooMA0GCSqGSI
EQfFmb3QRtwjazDHgaNc9FyVPsUY3iS7wnikXle4wS/rpdjBZWnw4XACnrpyo
2j6s1WkgSTx0h43MbKmipHbe9WRfdVO5MC72KMf7VSXZDCeYE5o8v45H4UcUtxup
MQ0wCwYDVQQLEwR0ZWNRMwEQYDVQQDEwp2aWRlb2
EQfFmb3QRtwjazDHgaXjoNc9FyVPsUY3iS7wnikXle4wS/rpdjBZWnw4XACnrpyo
2j6s1WkgSTx0h43MbKmipHbe9WRfdVO5MC72KMf7VSXZDCeYE5o8v45H4UcUtxup
MQ0wCwYDVQQLEwR0ZWNoMQYDVQQDEwp2aWRlb2
EQfFmb3QRtwjazDHgaXjoNc9FyVPsUY3iS7wnikXle4wS/rpdjBZWnw4XACnrpyo
2j6s1WkgSTx0h43MbKmHbe9WRfdVO5MC72KMf7VSXZDCeYE5o8v45H4UcUtxup
MQ0wCwYDVQQLEwR0ZWNoMRMwEQYDVQQDEwp2aWRlb2
EQfFmb3QRtwjazDHgaXjoNc9FyVPsUY3iS7wnikXle4wS/rpdjBZWnw4XACnrpyo
2j6s1WkgSTx0h43MbKmipHbe9WRfdVO5MC72KMf7VSXZDCeYE5o8v45H4UcUtxup
7B47Mg==

-----END CERTIFICATE-----

</ca>

# ns-cert-type server

auth-user-pass
remote-cert-tls server
verb 4

auth-user-pass是新加入的配置开启了用户名密码认证

6、配置过程当中可能会遇到的问题

若是报以下错误

由于 Undefined method `provider' for nil:nilclass，因此您没法从 Ldapmain 得到受权。
(也有网友登陆的时候报 Could not authorize you from LDAP because “(ldap) account must provide a dn,uid and email address”)

这是由于Gitlab要求有email属性
因此须要添加email

登陆phpldapadmin管理，http://ldap-server/phpldapadmin/
给用户添加email属性便可