LDAP統一認證管理平臺搭建文檔
一.準備環境
os:ubuntu18.0410.3.8.41
安裝軟件:LDAPPHPLDAPADMIN
二.開始安裝
1.修改host
vim /etc/hosts
10.3.8.41 pk.com
127.0.0.1 pk.com
2.安裝LDAP
\# apt install slapd ldap-utils
設置LDAP的admin的密碼
3.安裝了后,我們來使用配置文件添加幾個組和用戶來測試LDAP的可用性
\# cat add\_ldif
dn: ou=People,dc=pk,dc=com
objectClass: organizationalUnit
ou: People
dn: ou=Groups,dc=pk,dc=com
objectClass: organizationalUnit
ou: Groups
dn: cn=miners,ou=Groups,dc=pk,dc=com
objectClass: posixGroup
cn: miners
gidNumber: 5000
dn: uid=john,ou=People,dc=pk,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: john
sn: Doe
givenName: John
cn: John Doe
displayName: John Doe
uidNumber: 10000
gidNumber: 5000
userPassword: johnldap
gecos: John Doe
loginShell: /bin/bash
homeDirectory: /home/john
\# ldapadd -x -D cn=admin,dc=pk,dc=com -W -f ad.ldif
Enter LDAP Password:
adding new entry "ou=People,dc=pk,dc=com"
adding new entry "ou=Groups,dc=pk,dc=com"
adding new entry "cn=miners,ou=Groups,dc=pk,dc=com"
adding new entry "uid=john,ou=People,dc=pk,dc=com"
上述執行成功后,說明我們的LDAP可用了。
三.安裝LDAP的web管理工具PHPLDAPADMIN
1.安裝:
#apt-get install phpldapadmin
The following NEW packages will be installed:
apache2 apache2-bin apache2-data apache2-utils libapache2-mod-php7.2 libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap
liblua5.2-0 libsodium23 php php-common php-ldap php-xml php7.2 php7.2-cli php7.2-common php7.2-json php7.2-ldap php7.2-opcache
php7.2-readline php7.2-xml phpldapadmin ssl-cert
在ubuntu上會默認安裝php7.x的高版本,但是ubuntu18.04對這個支持不是很好
會有很多函數不可用,遇到這種情況,我在網上找到一種解決辦法,修改源代碼。
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=890127,具體看這個博客。
2.修改phpldapadmin的配置文件

\# cat/etc/phpldapadmin/config.php
3.配置apache的虛擬主機,默認安裝的phpldapadmin還會幫我們安裝apache2,我們直接啟動姐可以了
#/etc/init.d/apache2 start
4.我們可以訪問:http:ip:port/phpladpadmin訪問到web界面。
5.登陸:
修改成對應的dc然后輸入管理員admin的密碼,即可登陸。
6.創建用戶:
進入頁面后我們可以看到之前用來測試的建的幾個ou,ou代表組織,ou底下可以添加用戶。

我們現在ldap上添加一個ou組,名字叫做ou=KUBE\_SYSTEM的組織,代表新平臺的運維組,按下圖操作,ldap的數據存儲是目錄,我們很容易看出哪個條目屬于哪個目錄,我們在base dn下創建ou


點擊提交即可創建ou
我們在KUBE\_SYSTEM組織下給同事創建一個用戶,
第一步點擊我們的ou=KUBE\_SYSTEM這個組織,展開這個目錄,
第二步點擊創建,選擇模版


點擊提交我們就成功創建了這個用戶。
四.LDAP與jumpserver集成
1.首先我們以管理用戶登陸到jumpserver中,點擊系統設置,知道LDAP設置

LDAP地址:填LDAP的地址
綁定DN:輸入管理員條目的DN
密碼:輸入管理員的密碼
用戶OU:輸入你的創建的分組OU,他就只會去匹配你分組底下的用戶,多個OU用I分割
用戶過濾器:就是匹配分組的賬戶下的某個字段可以有uid sn cn都可以
LDAP屬性映射:將ldap分組用戶下的某個屬性映射jumpserver的某個屬性
填好上述內容后,點擊test測試一下看可以匹配到用戶,如果測試匹配到用戶,就可以點擊提交,然后用ldap的用戶去登陸jumpserver,登陸成功后,管理員用戶可以看到ldap的用戶加入到用戶設置中了。
五.LDAP與jenkins集成
1.首先我們以管理員用戶登陸上jenkins,找到設置ldap的地方。

2.啟用ldap

3.編輯配置,并且點擊測試,測試成功即可保存,登出jenkins然后用授權的賬號進行登陸。

