簡介

我們即將開始一個個的搭建我們的協(xié)作平臺, 實際上這些平臺是隨著我們團隊不斷發(fā)展, 相繼引入的. 當起第三個平臺搭建起來的時候, 一個嚴峻的問題出現(xiàn)了: 每個平臺都有一套賬號系統(tǒng), 每人都要為每個平臺記下不同的賬戶密碼, 新人加入管理員要重復三遍創(chuàng)建賬號的操作. 這是完全無法接受. 建立一個集中認證系統(tǒng)迫在眉睫, 經(jīng)過比較 最終選擇 OpenLDAP.
回頭再看, 如果你打算搭建一系列的需要工具/平臺, 集中認證服務是無法繞過的一項工作, 最好在一開始就做, 還可以避免后面遷移用戶的麻煩, 所以這里我在最開始就介紹 LDAP.

LDAP 全稱是輕量級目錄訪問協(xié)議(Lightweight Directory Access Protocol), 被設計為以中心化分層次的目錄和文件的形式管理和訪問相關信息.

它可以存儲組織任何類型的信息, 在這里我們使用它最常見的用途, 集中式認證. OpenLDAP 是 LDAP 的開源實現(xiàn), 下面是在 Ubuntu 14.04 上安裝的過程.

安裝 OpenLDAP

OpenLDAP 包含的 Ubuntu 的默認倉庫, 包的名字是 sldap, 同時我們還需要一些工具 ldap-utils

sudo apt-get update
sudo apt-get install sldap ldap-utils

安裝過程中, 會讓你設定 LDAP 的管理員密碼.

配置 sldap

這個過程可以使用交互輸入的形式配置很多關鍵信息, 你會被問到一系列問題:

• Omit OpenLDAP server configuration? No

• DNS domain name:

  • 這個選項會決定你的目錄路徑的根結構, 閱讀提示信息理解它是如何實現(xiàn)的.
  • 這其實是一個開放選項, 不過最好使用你或者團隊所擁有的域名.
  • 本文使用 example.com 作為樣例.

• Organization name:

  • 組織名稱, 依然取決于你自己的決定.
  • 本次使用 example 為例.

• Administrator password:

  • 安裝時候設置的管理員密碼, 此時也可以更改這個密碼.

• Database backend to use?

  • 后臺使用的數(shù)據(jù)庫, 作為樣例或者輕量使用選擇集成的 HDB 就足夠了.
  • 如果需要使用其他數(shù)據(jù)庫, 閱讀此文: The SQL backend How do I setup/configure back-sql?

• Remove the database when slapd is purged? No

• Move old database? Yes

• Allow LDAPv2 protocol? No

這時 LDAP 就應該能夠正常運行了.

安裝 LDAP 的 Web 管理界面 phpLDAPadmin

ldap-utils 提供了一些命令行工具管理 openLDAP, 但是大多數(shù)人應該還是更習慣圖形界面操作, 我們選擇 phpLDAPadmin 作為 openLDAP 的 web 管理圖形界面.

phpLDAPadmin 也包含在 Ubuntu 的默認倉庫里.

sudo apt-get install phpldapadmin

一行命令就會安裝好 phpLDAPadmin 以及依賴, 并且配置好 apache.

配置 phpLDAPadmin

安裝好后, 我們需要做一些配置, 讓 phpLDAPadmin 能夠正確連接 openLDAP.

編輯配置文件

sudo vi /etc/phpldapadmin/config.php

在這個配置文件里, 寫入 LDAP 服務的詳細信息

$servers->setValue('server','host','server_domain_name_or_IP');

接下來需要配置 LDAP 服務的域名, 我們之前選擇的是 example.com, 這里的值就是 "dc=example, dc=com

$servers->setValue('server','base',array('dc=example,dc=com'));

接著修改管理員登陸的 bind_id 參數(shù), cn=admin 已經(jīng)是對的了, 只需修改 dc 即可.

$servers->setValue('login','bind_id','cn=admin,dc=example,dc=com');

最后隱藏模板的警告:

$config->custom->appearance['hide_template_warning'] = true;

保存退出

登陸 phpLDAPadmin web 接口

訪問頁面

http://domain_name_or_IP_address/phpldapadmin

可以看到這個界面

點擊左側列表 "Login" 連接, 使用管理員賬戶登陸.

添加組織、組和用戶

LDAP 非常靈活, 可以使用多種不同的方式創(chuàng)建關系和結構, 下面我們針對信息創(chuàng)建一些基礎結構, 然后用再用信息信息填充它們.

創(chuàng)建組織

點擊左側的 "Create new entry here".

選擇 "Generic: Organizational Unit" 模板. 命名為 "groups"

確認改動

左側可以看到成功創(chuàng)建 "groups"

重復以上過程, 創(chuàng)建 "users" 組織.

創(chuàng)建組

創(chuàng)建三個不同的組, 'admin' 'irc' 'user' 并賦予不同的權限. 點擊 "groups" 選擇創(chuàng)建子條目

選擇 "Generic: Posix Group"

命名為 "admin"

重復以上步驟, 再創(chuàng)建 "irc" 和 "user" 組.

創(chuàng)建用戶

接下來創(chuàng)建用戶, 并指定到組里. 點擊 "ou=users" 開始.

選擇 "Generic: User Account"

填寫以下內(nèi)容

需要注意的是, Common Name 必須是唯一的, 建議使用用戶名替代自動生成的 FistName LastName 結構的 CN.

點擊創(chuàng)建按鈕并確認.

添加用戶到組

一個用戶可以添加到多個組里. 選中之前創(chuàng)建的組, 點擊 "Add new attribute":

選擇 'memblerUid'

輸入要添加的 Uid

然后可以通過 "modify group members" 添加更多用戶.

總結

現(xiàn)在 LDAP 已經(jīng)完美運行, 并且已經(jīng)創(chuàng)建好一些分組和用戶, 可以集成到其它服務里了.