1 基本概念
LDAP是一个基于 X.500标准 的轻量目录访问协议,全称为Lightweight Directory Access Protocol。
- 目录服务:一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能,动态灵活且易扩展的。目录是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。
- 目录数据库的特点:以 树状结构 存储数据,读取速度快,写入速度慢。没有事务处理、回滚等复杂功能,不适于存储修改-频繁的数据。
- LDAP是开放的标准化协议,受到广泛支持。它以树形用户目录为存储结构,对组织管理建模符合通常认知。
1.1 LDAP = 目录数据库 + 访问协议
LDAP采用client-server模型,服务器用于存放数据,客户端用于操作数据。LDAP协议的具体实现总结如下表:
1.2 数据模型
在LDAP中,信息以树状方式组织,在树状信息中的基本数据单元是条目,而每个条目由属性构成,属性中存储有属性值。
以下结合一个OpenLDAP里面的数据来解释下相关术语
Entry
条目,也叫记录项,是LDAP中最基本的颗粒,就像字典中的词条,或者是数据库中的记录。通常对LDAP的添加、删除、更改、检索都是以条目为基本对象的。(注意:一个Entry可以是一个User也可以是一个OU也可以是一个Group都行)
dn:每一个条目都有一个唯一的标识名(distinguished Name ,DN)( 相当于一个表里面会有一个唯一的标识字段 )。通过DN的层次型语法结构,可以方便地表示出条目在LDAP树中的位置,通常用于检索。
rdn:一般指dn逗号最左边的部分,如cn=dev1。
它与RootDN不同,RootDN通常与RootPW同时出现,特指管理LDAP中信息的最高权限用户。
Base DN:LDAP目录树的最顶部就是根(这树目录树的根节点),也就是所谓的“Base DN”,如图:”dc=landingzone,dc=com”。
Attribute
每个条目都可以有很多属性(Attribute),比如常见的人都有姓名、地址、电话等属性。每个属性都有名称及对应的值,属性值可以有单个、多个,比如你有多个邮箱。
属性不是随便定义的,需要符合一定的规则,而这个规则可以通过schema制定。比如
那针对posixGroup的类型,属性的修改就得这样
objectClass:表示这个Entry的类型,这块是由Schema定义出来的,需要有哪些属性。后面可以编辑这个Entry扩展一些属性。
LDAP为人员组织机构中常见的对象都设计了属性(比如commonName,surname)。下面有一些常用的别名:
属性 |
别名 |
语法 |
描述 |
值(举例) |
commonName |
cn |
Directory String |
姓名 |
sean |
surname |
sn |
Directory String |
姓 |
Chow |
organizationalUnitName |
ou |
Directory String |
单位(部门)名称 |
IT_SECTION |
organization |
o |
Directory String |
组织(公司)名称 |
example |
telephoneNumber |
|
Telephone Number |
电话号码 |
110 |
objectClass |
|
|
内置属性 |
organizationalPerson |
ObjectClass
对象类是属性的集合,LDAP预想了很多人员组织机构中常见的对象,并将其封装成对象类。
比如:
人员(person)含有姓(sn)、名(cn)、电话(telephoneNumber)、密码(userPassword)等属性
单位职工(organizationalPerson)是人员(person)的继承类,除了上述属性之外还含有职务(title)、邮政编码(postalCode)、通信地址(postalAddress)等属性。
通过对象类可以方便的定义条目类型。每个条目可以直接继承多个对象类,这样就继承了各种属性。如果2个对象类中有相同的属性,则条目继承后只会保留1个属性。对象类同时也规定了哪些属性是基本信息,必须含有(Must 活Required,必要属性):哪些属性是扩展信息,可以含有(May或Optional,可选属性)。
对象类有三种类型:结构类型(Structural)、抽象类型(Abstract)和辅助类型(Auxiliary)。结构类型是最基本的类型,它规定了对象实体的基本属性,每个条目属于且仅属于一个结构型对象类。抽象类型可以是结构类型或其他抽象类型父类,它将对象属性中共性的部分组织在一起,称为其他类的模板,条目不能直接集成抽象型对象类。辅助类型规定了对象实体的扩展属性。每个条目至少有一个结构性对象类。
Schema
对象类(ObjectClass)、属性类型(AttributeType)、语法(Syntax)分别约定了条目、属性、值
值的类型约束
TLS & SASL
分布式LDAP 是以明文的格式通过网络来发送信息的,包括client访问ldap的密码(当然一般密码已然是二进制的),SSL/TLS 的加密协议就是来保证数据传送的保密性和完整性。
SASL (Simple Authenticaion and Security Layer)简单身份验证安全框架,它能够实现openldap客户端到服务端的用户验证,也是ldapsearch、ldapmodify这些标准客户端工具默认尝试与LDAP服务端认证用户的方式(前提是已经安装好 Cyrus SASL )。SASL有几大工业实现标准:Kerveros V5、DIGEST-MD5、EXTERNAL、PLAIN、LOGIN。
Kerveros V5是里面最复杂的一种,使用GSSAPI机制,必须配置完整的Kerberos V5安全系统,密码不再存放在目录服务器中,每一个dn与Kerberos数据库的主体对应。DIGEST-MD5稍微简单一点,密码通过saslpasswd2生成放在sasldb数据库中,或者将明文hash存到LDAP dn的userPassword中,每一个authid映射成目录服务器的dn,常和SSL配合使用。参考 将 LDAP 客户端配置为使用安全性。
LDIF
LDIF(LDAP Data Interchange Format,数据交换格式)是LDAP数据库信息的一种文本格式,用于数据的导入导出,每行都是“属性: 值”对。
2 LDAP服务器搭建
LDAP=目录数据库+访问协议。因此要实现LDAP登录,首先要搭建一套自己的LDAP服务器,以供开发过程的自测,以及提测后的测试。然而LDAP服务器厂商众多,本次主要挑选Linux环境的OpenLDAP服务器,搭建过程和遇到的一些问题总结如下。
2.1 OpenLDAP服务器的搭建
环境准备
- 准备一台Linux主机并安装有docker环境。建议直接购买一台云服务器,镜像可以选择如 Docker运行环境(CentOS7.2 64位),这样自带docker环境免安装。
通过docker来搭建
docker run --name ldap-server \
--hostname ldap-server \
-p 389:389 -p 636:636 \
--detach \
osixia/openldap:latest
这个镜像是使用了自签凭证,使用 TLS 方式連線時會出現遠端憑證無效的錯誤。解决办法:
1、執行 docker cp ldap-server:/container/service/slapd/assets/certs/ldap.crt . 將自動產生的 自簽憑證 複製到本機的當前目錄中。
2、安裝 ldap.crt 憑證到本機中,並設定為信任憑證 (或單獨設定信任 X509 初級規則)。
如果不想使用默认的凭证,也可以自动生成。比如通过OpenSSL自签名生成。另外这个镜像的证书位置
CA 憑證檔案路徑:/container/service/slapd/assets/certs/ca.crt
LDAP 憑證檔案路徑:/container/service/slapd/assets/certs/ldap.crt
LDAP 憑證 Key 檔案路徑:/container/service/slapd/assets/certs/ldap.key
通过这个命令,创建出来的OpenLDAP会有几个默认参数
Port: 389 / 636 (TLS)
Admin DN: cn=admin,dc=example,dc=org
Admin Password: admin
自定义凭证-生成自定义证书
1、通过openssl生成私钥
openssl genrsa -out server.key 1024
2、 根据私钥生成 证书申请 文件csr
openssl req -new -key server.key -out server.csr
ps:Common Name可以输入:*.yourdomain.com,这种方式生成通配符域名证书
3、
使用私钥对证书申请进行签名从而生成证书
openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650
自定义凭证-启动容器时挂载到容器
docker run --name ldap-server --hostname ldap-server -p 389:389 -p 636:636 --volume /path/ssl:/container/service/slapd/assets/certs --detach osixia/openldap:latest
通过-v 挂载宿主机的目录到容器进而完成使用自定义证书。
通过环境变量修改一些自定义LDAP设定
LDAP_ORGANISATION:設定 LDAP 的組織名稱,預設為 Example Inc.。
LDAP_DOMAIN:設定 LDAP 的組織域名,預設為 example.org。
LDAP_ADMIN_PASSWORD:設定 LDAP 的管理員密碼,預設為 admin。
LDAP_TLS_VERIFY_CLIENT:設定 LDAP 是否驗證客戶端憑證,如想關掉可以設為 try,預設為 demand。
LDAP_TLS_CRT_FILENAME:LDAP SSL 憑證檔案名稱,預設為 ldap.crt。
LDAP_TLS_KEY_FILENAME:LDAP SSL 憑證 Key 檔案名稱,預設為 ldap.key。
LDAP_TLS_CA_CRT_FILENAME:CA 憑證檔案名稱,預設為 ca.crt。
搭建测试环境
为了简化后续操作,关闭TLS认证。就用下面这条启动指令:
docker run --name ldap-server --hostname ldap-server -p 389:389 -p 636:636 -e LDAP_TLS_VERIFY_CLIENT="try" -e LDAP_DOMAIN="landingzone.com" -e LDAP_ADMIN_PASSWORD="admin1" --detach osixia/openldap:latest
搭建LDAP管理界面
docker run --name ldap-admin -p 6443:443 --link ldap-server:ldap-host --env PHPLDAPADMIN_LDAP_HOSTS=ldap-host --detach osixia/phpldapadmin:latest
如果是本地的话那就可以直接浏览器访问:https://localhost:6443 就可以打开界面了。相关登录账号与密码:
Admin DN(用户名): cn=admin,dc=landingzone,dc=com
Admin Password(密码): admin1
登录成功的界面
通过LDAP管理界面增删改LDAP数据
添加Entry
通过这个操作可以添加OU\Group\Account等企业内部的组织与员工信息。