（三）Harbor使用OpenLDAP认证登陆

接上一篇《安装Harbor》，安装好之后，接下来我们使用OpenLDAP来进行Harbor  web界面的登陆验证及权限分配！

OpenLDAP：

　　使用OpenLDAP的都知道，这是一个集中的用户账号管理系统；使用轻量级目录访问协议（LDAP）构建集中的身份验证系统可以减少管理成本，增强安全性，避免数据复制的问题，并提高数据的一致性。

随着服务器的增加，随着用户权限的复杂性增加，只有几台服务器时，可能你还可以每台机器都去手动的新建几个用户，或者设置权限。

但如果是几十、几百、上千或者更多的机器呢？难道你还一个个的手动去新建用户吗？一个公司如果有着几十、几百或更多的人员时，难道你还能手动的操作吗？更别说复杂的权限设置了......

　　OpenLDAP就是因此而生的其中一个集中的用户账号管理系统，而我认为这也是一个比较好的管理系统。

　　我们公司200左右的人，3000+的服务器，不同的部门，不同的项目，不同的人员，reader或者是新人，每个人都有他们自己的账号，不同的权限。我们只能使用OpenLDAP进行这些复杂的权限账号管理。

基于此，docker的registry镜像仓库，这么复杂的人员分布，这么多的业务与项目，难道我们也一个个的新建registry账号或者共用一个账号吗？很明显这是不可能的！

既然我们上面用了Harbor，恰好Harbor也支持OpenLDAP进行账户管理，这也是我们看中Harbor作为docker registry镜像仓库其中重要的一点！这样只需要维护OpenLDAP这一套系统就可以了，跟以前完全不冲突，也完全不需要重新定义每个人的用户密码！

 

转载请标明出处：http://www.cnblogs.com/huangjc/p/6272938.html

 

下面我们就进入正式的操作吧：

Harbor默认是使用mysql数据库进行用户管理，那么我们就需要修改Harbor的配置文件：

#  vim harbor.cfg
#编辑如下几行：
auth_mode = ldap_auth  #验证模式
ldap_url = ldaps://172.16.100.100  #openldap  server
ldap_basedn = ou=people,dc=mydomain,dc=com  #这个根据自己的实际情况修改咯

保存之后，停止harbor：

docker-compose stop

然后重新执行install：

./install.sh

到此，就修改配置完成并生效啦！

 

接下来登陆浏览器测试操作并设置相关权限：

 首先说明一下，我这里发现的一个小问题：OpenLDAP的用户需要先登陆一次Harbor界面，后续Harbor才能对其进行权限的操作；这个应该是Harbor先前并不知道OpenLDAP有这个用户的存在，只有登陆了之后才记录了这个用户的原因吧！！

 当然这个也可能是我设置的问题吧，后续哪位大牛看到并且有好的方法，烦请指点一下！

（1）首先登陆一个我自己的用户，会看到只能新建自己的项目，并push/pull自己的镜像，其他人的仓库都不能操作，也没有备份策略等：

我新建了一个我自己的项目，但是没有备份权限，也只能操作我自己的项目，可以新加其他用户访问我的项目：

登陆gxx这个用户，发现这个用户也能访问我创建的项目：

 

（2）对用户进行权限设置：

admin是Harbor默认的超级管理员，可以看到所有人的项目，所有的操作都可以使用admin来进行操作，当然也可以赋予别人为管理员：

 登陆admin后，可以看到刚才由huangjc用户所创建的项目，也可以将gxx用户提升为这个项目的管理员：

admin也可以将某个用户提升为Harbor  web的管理员，这样这个用户就可以像admin一样具有Harbor操作的所有权限：

登陆huangjc这个用户，你就会发现，这些是管理员才拥有的权限，现在我也拥有了，我现在的权限就跟admin一样了：

到此，Harbor的OpenLDAP的操作就这样先吧！