LDAP 管理用户(组)

LDAP 管理用户(组)

LDAP实现提供被称为目录服务的信息服务,可以看做是一张特殊的数据库系统。可以有效的解决众多网络服务的用户账户问题,规定了统一的身份信息数据库、身份认证机制和接口,实现了资源和信息的统一管理,保证了数据的一致性和完整性。

使用场景
有两个系统A,B;需要把A系统创建的用户同步到B中,而B是个apache 开源项目,此时需要借助LDAP来解决。首先在A中建用户的同时,同步更新到LDAP中,然后B系统从LDAP中同步到自己的系统中,这样就实现了A中的用户到B系统的同步。

LDAP理解
在LDAP中,信息以树状方式组织,基本数据单元是条目,而每个条目由属性构成,属性由类型(Type)和一个或多个值(Value)组成。

  • Entry

包含的信息描述了现实世界中的一个真实的对象,在目录系统中可以理解为一个节点。在目录中添加一个Entry时,该Entry必须属于一个或者多个对象类(Oject Class),Entry的类型由属性Object Class规定。每个Entry都有一个唯一的DN(distinguished name)来标识Entry在directory中的位置。用Java的方式Entry相当于一个Instances,而Ojbect class自然就是Class。

根节点DN的命名有多种方法,其中之一就是域名命名法,例如sohu.com根阶节点的DN应该是DN:dc=sohu,dc=com,People节点的DN:ou=People,dc=example,dc=com,RDN是目录树中节点的相对标识,例如People节点的RDN:ou=people。

  • Attribute

每个Entry都是由许多Attribute组成,每个属性描述的是对象的一个特征,每个属性由一个类型和一个或多个值Value组成。
每个属性类型有所对应的语法和匹配规则;对象类和属性类型的定义均可以使用继承的概念。每个条目创建时,必须定义所属的对象类,必须提供对象类中的必选属性类型的属性值,在LDAP中一个属性类型可以对应多个值。
常见属性:

Attribute type Attribute value
c 国家
dc domain component,常用来指一个域名的一部分
cn common name,一个对象的名字,如果指人,使用全名
ou 一个组织单元的名字
sn Surname,一个人的姓
uid Userid,某个用户的登录名,与Linux系统中用户的uid不同
o 组织的名字
  • Object class

在LDAP中,一个条目必须包含一个Oject class属性,且需要赋予至少一个值。每个值将用作一条LDAP条目进行数据存储的模板,模板中包含了一个条目必须被赋值的属性和可选的属性。
Object分为三类,结构型(Structural),如Person和orginzationUnit,辅助型(Auxiliary),如extensibeObject,抽象型(Abstract):如top,抽象型的ObjectClass不能直接使用。
下面部分常用的ObjectClass,定义在/etc/openldap/schema/core.schema文件中

名称 描述 必要属性
domain
organization o
organizationalUnit ou
person sn,cn
organizationPerson cn,sn
top 抽象型,顶级ObjectClass
posixAccount Linux用户 cn,gidNumber,homeDirectory,uid,uidNumber
posixGroup Linux用户组 cn,gidNumber

- Entry必须仅包含一个Structural类型的OjectClass,其他两种类型可包括0或者多个。

LDAP 功能模型

描述LDAP 协议可以采用的相关操作,来访问存储在目录树中的数据,可以将操作分
成三组:
(1) 更新操作 包括添加,删除,重命名,修改Entry
(2) Interrogation Operation 用于数据的查询
(3) 认证和控制 (bind unbind abandon)

LDAP 安全模型

(1) 提供一个框架,包含目录中的信息不被非法访问,LDAP 的安全模型主要是通过身份认
证、安全通道和访问控制(ACL)来实现。
(2) LDAP 是一个面向连接的协议,在能够对LDAP 目录进行任何操作之前,LDAP 客户端
端必须获得一个到LDAP 服务端的一个连接,在这个过程中需要对LDAP 客户端的身份进
行验证(可以理解为用户绑定)。
(3) 在用户通过验证之后,为用户分配附加的权限,比如一些用户只能查看特定的Entry,而不能修改。一些用户可以查看并且修改所有的Entry等。

Ldap Server 安装使用

安装OpenLDAP

1、安装OpenLDAP相关软件

yum install openldap openldap-servers openldap-devel openldap-clients
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

2、配置/etc/openldap/slapd.conf

修改下面配置:
suffix “dc=xhh,dc=com”
rootdn “cn=Manager,dc=xhh,dc=com”
rootpw 123456

找到access to的位置,添加如下配置:
access to attrs=shadowLastChange,userPassword
by self write
by * read
by * auth
access to *
by * read

3、修改文件及目录权限
chown -R ldap:ldap /etc/openldap/*
chown ldap:ldap /var/lib/ldap/*
chmod 755 /etc/openldap/slapd.d/cn=config
重启openldap:/etc/init.d/slapd start

4、初始化
rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
chown -R ldap:ldap /etc/openldap/*
重启:/etc/init.d/slapd restart

OpenLDAP使用
添加用户:
vim init.ldif

dn: dc=xhh,dc=com
objectClass: top
objectClass: domain

dn: ou=users,dc=xhh,dc=com
objectClass: organizationalUnit
objectClass: top
ou: users

dn: cn=xhhtest,ou=users,dc=xhh,dc=com
objectClass: person
objectClass: top
cn: xhhtest
sn: xhhtest

ldapadd -x -D “cn=Manager,dc=xhh,dc=com” -w 123456 -f init.ldif

后续使用spring-ldap写代码来管理ldap用户用户组及两者的关系。

你可能感兴趣的:(LDAP)