启用OpenLDAP的memberOf特性

最新推荐文章于 2022-01-17 09:28:45 发布
最新推荐文章于 2022-01-17 09:28:45 发布
阅读量6.7k 收藏 2
点赞数 1
分类专栏: Linux资讯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Listen2You/article/details/82706921
版权

之前,我们已经通过 Docker 的方式安装部署了 OpenLDAP 服务。所以本文将主要介绍如何启用 OpenLDAP 中非常有用的 memberOf 特性。

很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的(member of)。memberOf 正是提供了这样的一个功能:如果某个组中通过 member 属性新增了一个用户,OpenLDAP 便会自动在该用户上创建一个 memberOf 属性,其值为该组的 dn。

遗憾的是,OpenLDAP 默认并不启用这个特性,因此我们需要通过相关的配置开启它。

创建一个支持 memberOf 的 Docker 镜像

我们的思路是以 osixia/openldap 为基准,通过 Dockerfile 来扩展其启动脚本,来实现对 memberOf 的支持。

首先,我们需要修改原镜像中的 bootstrap/ldif/03-memberOf.ldif 脚本中的 olcMemberOfGroupOC 和 olcMemberOfMemberAD 属性,结果如下:

# Load memberof module
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: memberof

# Backend memberOf overlay
dn: olcOverlay={0}memberof,olcDatabase={1},cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcMemberOf
olcOverlay: {0}memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfNames
olcMemberOfMemberAD: member
olcMemberOfMemberOfAD: memberOf

接着我们来创建一个如下的 Dockerfile,将修改后的脚本文件加入到新的镜像中:

FROM osixia/openldap
MAINTAINER Yanbin Ma 
ENV LDAP_ORGANISATION="XINHUA.IO" LDAP_DOMAIN="xinhua.io" LDAP_ADMIN_PASSWORD="Passw0rd"
ADD bootstrap /container/service/slapd/assets/config/bootstrap

然后通过如下命令,便可以构建出新的镜像 myanbin/openldap:

$ docker build -t myanbin/openldap:0.1.0 .

最后运行此镜像即可:

$ docker run --name ldap_core -p 389:389 -p 636:636 --detach myanbin/openldap

使用 LDIF 文件导入用户和组数据

首先我们导入一个用户:

[root@localhost ~]# vim add_user.ldif
dn: uid=john,ou=people,dc=xinhua,dc=io
cn: John Doe
givenName: John
sn: Doe
uid: john
uidNumber: 5000
gidNumber: 1000
userPassword: {SHA}M6XDJwA47cNw9gm5kXV1uTQuMoY=
homeDirectory: /home/john
mail: john.doe@example.com
objectClass: top
objectClass: posixAccount
objectClass: inetOrgPerson

[root@localhost ~]# ldapadd -x -H ldap://172.16.168.120 -D "cn=admin,dc=xinhua,dc=io" -W -f ./add_user.ldif
然后再导入一个组:
[root@localhost ~]# vim add_group.ldif
dn: cn=master,ou=group,dc=xinhua,dc=io
objectClass: groupOfNames
cn: master
member: uid=john,ou=people,dc=xinhua,dc=io

[root@localhost ~]# ldapadd -x -H ldap://172.16.168.120 -D "cn=admin,dc=xinhua,dc=io" -W -f ./add_group.ldif

最后通过 ldapsearch 命令可以查询到,该用户属性中已经增加了 memberOf:

[root@localhost ~]# ldapsearch -x -H ldap://172.16.168.120 -b dc=xinhua,dc=io -D "cn=admin,dc=xinhua,dc=io" -W memberOf
dn: uid=john,ou=people,dc=xinhua,dc=io
memberOf: cn=master,ou=group,dc=xinhua,dc=io

最终,我们用上面的方式实现了对 memberOf 的支持。

原文来自:https://www.linuxprobe.com/enable-memberof-openldap.html

Listen2You
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OpenLDAP开启MemberOf及配置主从
格子的博客
07-05 1403
很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的。`memberOf` 正是提供了这样的一个功能:如果某个组中通过 `member` 属性新增了一个用户,`OpenLDAP` 便会自动在该用户上创建一个 `memberOf` 属性,其值为该组的 `dn`。遗憾的是,`OpenLDAP` 默认并不启用这个特性,因此我们需要通过相关的配置开启它...............
CentOS 6.5安装Openldap添加memberof属性
weixin_33922672的博客
10-13 438
默认情况下,openLDAP安装之后schema中是没有memberof属性的,如果只是通过ldap进行系统登录认证还没有什么影响,但是如果是和第三方应用结合,那么这就成了一件痛苦的事儿。环境说明主机名角色IP地址ldapserver.contoso.comopenLDAP server192.168.49.139一、准备环境[root@ldapserver~]#ipta...
LDAP添加 memberOf 模块
老实人的博客
07-23 5547
ldap的group是一种单独的类型objectClass: groupOfNames, 有个字段叫做member, value就是entry的dn。如此,实现了group-user的映射关系。 我们可以通过group来查询member,然而,并不能通过user直接获取到group。这在配置第三方系统的时候,没办法做group认证,比如airflow要求输入group filter, 默认通过memberof的属性值来获取group。gitlab如果要做分组进行登录限制要求输入 memberof 的属性值来
centos 6.5 openldap php,CentOS 6.5安装Openldap添加memberof属性
weixin_35656078的博客
03-29 367
默认情况下,openLDAP安装之后schema中是没有memberof属性的,如果只是通过ldap进行系统登录认证还没有什么影响,但是如果是和第三方应用结合,那么这就成了一件痛苦的事儿。环境说明主机名角色IP地址ldapserver.contoso.comopenLDAP server192.168.49.139一、准备环境[root@ldapserver~]#iptables-L-nC...
ldap
fengfan2008vip的专栏
04-24 591
package ldap;import java.util.Properties;import javax.naming.*;import javax.naming.ldap.*;import javax.naming.directory.*;public class Client { public static void main(String[] ar
OpenLDAP 启用memberof 完整示例
05-07
`memberof`是OpenLDAP的一个特性,它允许查询用户属于哪些组,这对于实现基于角色的访问控制(RBAC)非常重要。启用`memberof`涉及到多个步骤,包括系统和全局配置、模块开启以及数据的添加。 首先,我们需要确保...
openldap-2.5.4
07-05
OpenLDAP-2.5.4中,可能包含以下特性或改进: 1. 性能优化:可能针对大规模目录操作进行了性能提升,减少了响应时间和资源消耗。 2. 安全性增强:可能修复了之前版本中的安全漏洞,提高了系统的安全性。 3. 兼容性...
openldap 开启TLS全步骤
最新发布
06-05
openldap 开启TLS全步骤
详解samba + OPENldap 搭建文件共享服务器问题
09-29
主要介绍了samba + OPENldap 搭建文件共享服务器,这里我使用的是 samba(文件共享服务) v4.9.1 + OPENldap(后端数据库软件) v2.4.44 + smbldap-tools(后端数据库管理软件) v0.9.11 + CentOS7。 需要的朋友可以参考下
OpenLDAP文档.pptx
05-10
* 属性:attributetype ( 1.3.6.1.4.1.7914.1.2.1.1 NAME 'username' DESC 'name of the user on the mailsystem' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-value ) * 类:object...
docker-openldapOpenLDAP Docker微服务
02-14
OPENLDAP服务器 Docker的基本LDAPServer安装。 我创建它只是为了好玩。 快速开始 将构建文件下载到您的Docker主机服务器 选项1:从openldap-server.tar.gz下载所有文件 wget tar -xzvf openldap-server.tar.gz mv docker-compose.yml.example docker-compose.yml mv .env.example .env 运行容器 码头工人组成 drussell1974@jtc1:~/docker/openldap-server$ sudo docker-compose up Recreating openldap-server_ldapserver_1 ... done Attaching to openldap-server_ldapserver_1 ldapserve
GitLab集成LDAP登录并解决OpenLDAPmemberOf问题
热门推荐
点滴成长
09-14 2万+
LDAP是Light weight Directory Access Protocol(轻量级目录访问协议)的缩写,其前身是更为古老的DAP协议。该文章的亮点(也是写这篇文章的主要目的)是解决了 OpenLDAP(我使用的版本号为2.4.*)加载memberof模块,并通过groupOfNames和memberOf实现分组认证的功能。
openLdap上添加memberOf属性
weixin_30566111的博客
05-13 720
我为openldap添加memberof属性的时候参考了这个文章:http://www.adimian.com/blog/2014/10/how-to-enable-memberof-using-openldap/ 但是文章上用的ldap的版本有些旧了,有些属性的名字在新的版本的ldap里边已经变更了,所以记录一下。 变更有以下两点: 用户组的objectClass从 groupOfNames 变...
ldap添加memberof支持
weixin_30896511的博客
08-13 926
安装请查看上一篇博客,传送门:https://www.cnblogs.com/crysmile/p/9470508.html 如果使用LDAP仅仅作为用户统一登录中心,则参考安装文档即可;如果ldap要与第三方软件结合,例如confluence、gitlab等结合,则需要开启memberof支持。 请根据实际需要,进行修改使用。 1、设置config支持密码验证。 vim 1-chroo...
如何在OpenLDAP启用MemberOf
qq_23191379的博客
06-20 3207
文章目录OpenLDAP启用MemberOf创建用户测试 默认情况下OpenLDAP的用户组属性是Posixgroup,Posixgroup用户组和用户没有实际的对应关系。如果需要把Posixgroup和user关联起来则需要将用户添加到对应的组中。 通过如上配置可以满足大部分业务场景,但是如果需要通过用户组来查找用户的话,Posixgroup用户组属性,是无法满足要求的。此时需要使用OpenLDAP的groupOfUniqueNames用户组属性。 环境 OpenLDAP版本:2.4.44 系统:Ce
harbor与openldap集成(memberof
u010533742的博客
05-18 767
ldapURL:ldap://192.168.11.194 LDAP搜索DN:cn=admin,dc=fly,dc=cn #咨询ldap管理员,如果ldap支持匿名搜索这个不用配置 LDAP搜索密码:xxxxxx #咨询ldap管理员,如果ldap支持匿名搜索这个不用配置 LDAP基础DN:ou=users,dc=fly,dc=cn #LDAP过滤器:objectclass=posixAccount #如果开启了memberof属性参考
尝试debian-9.13.0-amd64下apache和proftpd用openldap整合按组认证笔记之一:openldap中加入memberOf特性
流窜疯的专栏
10-11 529
原本在debian-7.11.0-amd64下钻研同一个目标还没完全搞定,发现stretch最后一版已经发布,就干脆从零开始详细记录下过程 debian7 debian9 apache 2.2 2.4 openldap HDB MDB php 5.4 7.0 proftpd 1.3.5e ...
OPENLDAP关于numberof模块的设置详解
yes_is_ok的博客
11-08 938
一,背景: openldap版本 2.4.44 二,注意事项 所有涉及的配置文件的行开头不准有空格,凡是首行带有空格的均默认是上一行的continuous! 三,配置开始 1,编辑第一个ldif文件(名字随意,后缀必须要有ldif,我就命名为memberof_config.ldif),文件内容如下 [root@localhost ~]# cat memberof_config.l...
Docker -- 统一账户管理中心配置OPEN LDAP(在一套CI架构中,我们需要使用到各种各样得软件,需要这些软件协同工作。但是我们又不希望让用户在每一软件上都单独去进行账户得注册以及密码得维)
ayhg1的博客
01-17 1648
在一套CI架构中,我们需要使用到各种各样得软件,需要这些软件协同工作。但是我们又不希望让用户在每一软件上都单独去进行账户得注册以及密码得维护。为了方便运维管理,我们引入LDAP作为统一账户管理中心。LDAP实际上是一个协议,目前针对轻量级目录服务协议的实现产品有很多。我们选择使用OPEN LDAP作为实现产品。该产品是免费的,功能也较为全面。客户端软件我们采用LDAP ADMIN。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值