使用OpenLDAP 打造企业的统一身份认证中心之环境搭建篇

1 概述

本文介绍如何使用OpenLDAP构建企业的统一身份认证中心，以便读者可以在后续的工作中进行参考。

1.1 OpenLDAP介绍

OpenLDAP 是一套开源的轻量级目录访问协议（Lightweight Directory Access Protocol, LDAP）的实现，旨在提供一个强大且灵活的目录服务系统，用于集中存储、管理和检索组织机构内的用户、设备、网络资源等各类信息。OpenLDAP 项目始于 1998 年，目前已经成为全球范围内广泛应用的目录服务软件。

主要特点：

1. 目录服务：
   OpenLDAP 构建了一个层次式的目录信息树（DIT, Directory Information Tree），用于组织和存储数据。数据以条目（entries）的形式存在，每个条目包含多个属性（attributes），如用户账户的姓名、邮箱、电话、密码等。
2. LDAP 协议支持：
   OpenLDAP 严格遵循 LDAP 标准，支持 LDAP v3 及以前版本的协议，提供强大的目录访问功能，包括搜索、添加、删除、修改条目等操作。
3. 安全与认证：
   OpenLDAP 支持多种安全机制，如 SSL/TLS 加密、SASL 认证协议等，以确保数据传输和存储的安全性。
   可以通过集成 Kerberos 或其他认证机制实现复杂的权限管理和身份验证。
4. 可扩展性：
   OpenLDAP 允许自定义 LDAP schema，以适应不同组织和应用的特殊需求，存储除标准属性以外的自定义数据。
   支持大规模部署，可通过多主复制或多层复制实现高可用性和可扩展性。
5. 管理工具：
   提供了一系列命令行工具，如 ldapadd, ldapmodify, ldapsearch 等，用于管理、维护和查询目录数据。
   可以搭配 Web UI 管理工具，如 phpLDAPadmin 等，提供图形化操作界面。
6. 集成与应用：
   OpenLDAP 可与多种企业级应用集成，作为统一的身份认证和用户管理基础设施，支持单点登录（SSO）、资源访问控制等功能。
   与 Active Directory 类似，OpenLDAP 可作为企业内部的用户目录服务，用于身份管理、邮件列表、组管理等多个场景。

2 实战部署

2.1 说明

为方便快速安装，我们使用docker来进行安装OpenLDAP，并安装phpldapadmin作为web管理端进行管理。

2.2 docker-compose脚本如下

运行：docker-compose up -d

version: '3'
services:
  openldap:
    image: osixia/openldap:stable
    container_name: openldap
    hostname: "openldap"
    ports:
      - "389:389"
      - "636:636"
    environment:
      - LDAP_ORGANISATION=example
      - LDAP_DOMAIN=example.cn
      - LDAP_ADMIN_PASSWORD=example123
    volumes:
      - ./openldap:/var/lib/ldap
    privileged: true
    restart: always
    command: ["--copy-service", "--loglevel", "info"]

  phpLdapAdmin:
    image: osixia/phpldapadmin:stable
    container_name: phpLdapAdmin
    hostname: "phpLdapAdmin"
    ports:
      - "8085:80"
    environment:
      - PHPLDAPADMIN_HTTPS=false
      - PHPLDAPADMIN_LDAP_HOSTS=openldap
    restart: always
    depends_on:
      - openldap