OpenLDAP+iRedMail+GitLab统一身份认证邮件代码仓库系统的解决方案

最新推荐文章于 2024-04-26 16:43:36 发布
最新推荐文章于 2024-04-26 16:43:36 发布
阅读量1.7k 收藏 2
点赞数
文章标签: gitlab linux Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apache0554/article/details/129710443
版权

前言: iRedMail官方提供有各平台的自动安装脚本,整个安装过程并不复杂,重点在于安装后接入LDAP的配置。OpenLDAP的配置是出了名的恶心,尤其是网上大部分文档过于老旧,大多数情况下并不适用于当下。

一、说明

本文档操作环境如下:

操作系统: Ubuntu 22.04.1 LTS

硬件资源: AWS EC2 2Core 8GB

软件版本: iRedMail 1.6.2 , OpenLDAP 2.5.13 , GitLab latest

域名:mydomain.com

服务器private IP: 172.31.16.124

二、配置iRedMail

iRedMail是一个基于Linux/BSD 系统的企业级邮件服务器解决方案。最重要的是它是开源,免费的项目,可进行二次开发,安装过程也比较简单。它的官方完整安装文档在https://docs.iredmail.org/,(基础内容有中文版本,详细配置只有英文,英语阅读能力较强的同学可以根据官方文档进行安装和配置。)这里我们按照Install iRedMail on Debian or Ubuntu Linux的章节进行配置。

注意:

(1)阿里云、腾讯云均禁止使用邮件服务所必须的 25 端口提供邮件服务,因此您不能在 它们的云服务器部署邮件服务器。经测试AWS EC2同样限制了25端口,如需解除限制可以开个case说明情况。

(2)iRedMail 只针对全新安装的操作系统设计,它要求你的操作系统上 没有 事先 安装邮件服务相关的组件,例如 MySQL,OpenLDAP,Postfix,Amavisd,等。 iRedMail 会自动安装和配置邮件服务所需的组件,因此如果操作系统上已有相关 组件,iRedMail 可能会打乱你的配置并造成服务无法正常启动。

1、配置前准备

设置主机完整域名(FQDN):

修改文件/etc/hostname,内容为:

mx

修改文件/etc/hosts,定义主机名和 IP 地址的对应关系

127.0.0.1   mx.mydomain.com mx localhost localhost.localdomain

重启服务器

sudo reboot

防火墙需开放端口: 22 25 80 110 143 389 443 2222 8888 8099

2、安装iRedMail

(1)安装依赖组件

sudo apt-get install gzip dialog

(2)下载iRedMail安装工具包

访问https://www.iredmail.org/download.html找到下载链接

sudo su
cd /root
wget https://github.com/iredmail/iRedMail/archive/refs/tags/1.6.2.tar.gz
tar zxf 1.6.2.tar.gz
cd iRedMail-1.6.2
bash iRedMail.sh

(3)安装配置iRedMail

安装过程会以交换形式进行,需要注意的地方有

Choose preferred backend used to store mail accounts 选择 OpenLDAP

LDAP suffix (root dn) 输入 dc=mydomain,dc=com

Your first mail domain name 输入 mydomain.com

Password for the mail domain administrator 输入 12345678

安装完成后查看文件 /root/iRedMail-1.6.2/iRedMail.tips, 这里记录会所有iRedMail相关服务和组件的信息。

(4)设置DNS解析

在你的域名提供商那里,设置如下DNS解析:

主机记录记录类型值

@                A        <public ip>    
mail             A        <public ip>    
@                MX       mail.mydomain.com    
gitlab           A        <public ip>

(5)配置 SSL 证书

配置前准备:

sudo vim /etc/nginx/sites-enabled/00-default-ssl.conf

修改server_name这一行为:

server_name mail.mydomain.com;

停止nginx

sudo service nginx stop

如果不配置nginx的server_name和停止nginx服务,certbot会安装失败。

使用 Let's Encrypt 提供免费的 SSL 证书,访问https://certbot.eff.org/instructions?ws=nginx&os=ubuntufocal根据官方文档进行操作

由于Ubuntu22.04自带snap,可以跳过snap的安装,直接更新snap

sudo snap install core; sudo snap refresh core
sudo snap install --classic certbot
sudo certbot --nginx

配置过程中会提示你输入证书域名: mail.mydomain.com

配置结束后启动nginx

sudo service nginx start

(6)在浏览器中访问https://mail.mydomain.com/mail

邮箱管理员账号为 postmaster@mydomain.com

密码是安装iRedMail时输入的密码12345678,当然也可以在/root/iRedMail-1.6.2/iRedMail.tips文件中找到

登入成功表示iRedMail服务搭建完毕。

注意:由于机房限制25端口,在未解除限制前,邮件服务器仅能接收和本域名范围内发送邮件。

2、安装GitLab

(1)安装

创建工作目录:

mkdir -p /home/ubuntu/work/gitlab && cd /home/ubuntu/work/gitlab

创建docker-compose.yml文件,内容为:

version: '3.6'
services:
  web:
    container_name: 'gitlab'
    image: 'gitlab/gitlab-ee:latest'
    restart: always
    hostname: 'mx.mydomain.com'
    environment:
      GITLAB_OMNIBUS_CONFIG: |
        external_url 'http://mail.mydomain.com:8888'
        gitlab_rails['gitlab_shell_ssh_port'] = 2222
        gitlab_rails['ldap_enabled'] = true
        gitlab_rails['ldap_servers'] = {
          'main' => {
            'label' => 'LDAP',
            'host' =>  '172.31.16.124',// 注意替换为自己服务器的private IP
            'port' => 389,
            'uid' => 'uid',
            'encryption' => 'plain',
            'allow_username_or_email_login' => true,
            'user_filter' => '(memberof=cn=GitLab,ou=Groups,domainName=mydomain.com,o=domains,dc=mydomain,dc=com)',      // GitLab组的成员可以登入
            'block_auto_created_users' => false,
            'lowercase_usernames' => false,
            'bind_dn' => 'cn=vmail,dc=mydomain,dc=com',
            'password' => '<vmail password>',
            'base' => 'ou=Users,domainName=mydomain.com,o=domains,dc=mydomain,dc=com'
          }
        }
    ports:
      - '8888:8888'
      - '2222:22'
    volumes:
      - '/home/ubuntu/work/gitlab/config:/etc/gitlab'
      - '/home/ubuntu/work/gitlab/logs:/var/log/gitlab'
      - '/home/ubuntu/work/gitlab/data:/var/opt/gitlab'
    shm_size: '256m'

启动容器: 

docker compose up -d

(2)配置

创建GitLab本地管理员账号:

sudo docker exec -it gitlab grep 'Password:' /etc/gitlab/initial_root_password

获取密码后在网页上登录:http://gitlab.mydomain.com:8888 (登录框中选择Standard)

登录成功则说明GitLab安装成功。

3、配置OpenLDAP

(1)安装phpldapadmin

由于iRedMail在安装过程中会自动安装OpenLDAP并将其各组件接入OpenLDAP,且iRedMail的LDAP规则过于复杂,不建议新手单独创建OpenLDAP服务并配置接入。

OpenLDAP的命令行配置过于反人类,需要安装phpldapadmin救命。因为iRedMail自动安装了web服务,为避免冲突这里使用docker安装phpldapadmin

创建工作目录: 

mkdir -p /home/ubuntu/ici/work/phpldapadmin
cd /home/ubuntu/work/phpldapadmin

创建docker-compose.yml文件,内容为:

version: "3"
services:
  phpldapadmin:
    container_name: phpldapadmin-single
    image: osixia/phpldapadmin:0.9.0-amd64
    restart: always
    ports:
      - 8099:80
    volumes:
      - /etc/localtime:/etc/localtime
    environment:
      - PHPLDAPADMIN_LDAP_HOSTS=172.31.16.124// 注意替换为自己服务器的private IP
      - PHPLDAPADMIN_HTTPS=false
    deploy:
      resources:
        limits:
           memory: 1G
        reservations:
           memory: 256M

启动容器:

docker compose up -d

如提示docker-compose命令不存在,可以用 apt install docker-compose 来安装命令。

启动完成后,通过http://mail.mydomain.com:8099访问LDAP页面。

管理员账号信息在/root/iRedMail-1.6.2/iRedMail.tips文件中可以找到,类似于

* LDAP root dn: cn=Manager,dc=mydomain,dc=com, password: xxxxxxxxxxxxxxxxxxxxxxxxxxx

注意:账号不要只输入 Manager 要输入完整信息:cn=Manager,dc=mydomain,dc=com

(2)启用memberOf模块

默认情况下,OpenLDAP的用户组属性为Posixgroup,起与用户之间没有实际对应关系,这会导致LDAP无法根据用户与组之间的隶属关系做查询。而在实际的项目和组织架构管理中,这种隶属关系的应用很普遍,所以需要启用LDAP的memberOf模块。普遍情况下启动memberOf模块并不复杂,网上的教程和文档也很多,但由于这里的OpenLDAP是由iRedMail自动安装和配置的,网上的资源完全无法使用。为什么会出现这种情况?

OpenLDAP是在iRedMail的自动安装脚本过程中自动被安装的,我们无法控制这一过程,我曾尝试先安装配置OpenLDAP后再将iRedMail手动接入,但由于iRedMail所包含的组件较多,涉及到LDAP的相关配置很复杂最终放弃。在这种情况下我们只有一条路可以走,那就是使用iRedMail自动配置好的OpenLDAP策略,这会导致一个问题,OpenLDAP的静态配置和动态配置问题,所谓静态配置:我想修改LDAP的配置,我只能修改/etc/ldap/slapd.conf这配置文件,删除slapd.d目录后,通过slaptest重新生成子配置文件,重启OpenLDAP生效。动态配置:使用ldapadd通过编辑ldif文件内容执行OpenLDAP配置,这需要执行一条命令,不需要重启服务。不幸的是iRedMail安装的OpenLDAP使用的是静态配置,而网上的教程采用的是动态配置。所以不管你怎么执行动态配置的命令,都无法修改slapd.d目录下的内容,也就无法添加memberof模块。

静态配置memberof模块的方法如下:

修改/etc/ldap/slapd.conf文件:在moduleload back_monitor的下一行插入2行:

moduleload memberof
moduleload refint

在database monitor的上一行添加:

database config
access to *
    by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
    by * none

在database mdb的下一行添加:

overlay memberof
overlay refint

保存文件后,退出

通过下面的命令刷新配置文件

sudo rm -r /etc/ldap/slapd.d
sudo mkdir /etc/ldap/slapd.d
sudo slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d
sudo chown -R openldap:openldap /etc/ldap/slapd.d
sudo service slapd restart

以上方法参考资料:https://www.openldap.org/doc/admin24/overlays.html

https://forum.iredmail.org/topic8673-general-ldap-setup-question.html

(3)创建组织架构

创建邮箱用户:

sudo su
cd /root/iRedMail-1.6.2/tools/

编辑create_mail_user_OpenLDAP.sh

修改信息为自己的:

LDAP_SUFFIX="dc=mydomain,dc=com"
BINDPW='<your_password>'

DEFAULT_PASSWD='888888'//固定的初始密码
USE_DEFAULT_PASSWD='YES'     //YES表示启用固定初始密码,NO表示不启用,密码默认为与账号相同

修改好后保存退出,使用命令创建用户:

bash create_mail_user_OpenLDAP.sh mydomain.com demo

创建git组,并把demo用户加到组里:

cat  > gitgroup.ldif << EOF
dn: cn=GitLab,ou=Groups,domainName=mydomain.com,o=domains,dc=mydomain,dc=com
cn: GitLab
objectClass: groupOfNames
objectClass: top
Member: mail=demo@mydomain.com,ou=Users,domainName=mydomain.com,o=domains,dc=mydomain,dc=com
EOF

ldapadd -D "cn=Manager,dc=mydomain,dc=com" -w <your_password> -x -f  gitgroup.ldif

登录gitlab: http://gitlab.mydomain.com:8888 (选择LDAP方式登录)

输入账号: demo

密码: 888888

登入成功则说明GitLab接入LDAP成功。后续新建账号后,可在phpldapadmin上选择GitLab组,在member属性下加入用户。

__Cheny
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IRedMail邮件服务器配置
05-29
linux下,按照说明文档,可以独自架设企业邮件服务器,效率高,系统运行稳定,具有很高的实用性
10分钟教你阿里云环境下搭建iredmail邮件服务器
weixin_34038293的博客
12-12 1677
一.ireaqdmail 介绍RedMail 是一个基于 Linux/BSD 系统的零成本、功能完备、成熟的邮件服务器解决方案。iRedMail 是一个开源、免费的项目。以 GPL(v2)协议发布。二.使用的核心组件及其对应的功能Postfix: SMTP 服务器Dovecot: POP3/IMAP/Managesieve 服务器Apache: Web 服务器MySQL: 用...
统一认证--nextcloud和iRedMail
ousamadm的博客
06-11 3135
nextcloud和iRedMail都支持LDAP,如果能够使用统一ldap服务器,即可实现统一认证,经测试直接使用iRedMail自带openLDAP是一个很好的选择(1)无需自己安装配置LDAP,(2)nextcloud很容易配置,(3)iRedMail自带的password自助服务功能简单实用,无需单独配置password自助服务,(4)简单的命令行用户账号工具 一、准备工作 ...
iRedMail邮件服务的部署
热门推荐
wyl9527的博客
03-06 1万+
1、iredmail简介 iredmail是基于开源的postfix、dovecot、openldap、roundcube等软件,加上作者开发的安装包、配置文件、管理工具(都开源),可快速搭建一个支持SMTP、POP3、IMAP等协议,提供WebMail和Web管理界面的邮件系统 官网:http://www.iredmail.com/ (域名http://www.iredmail.org在...
OpenLDAP+LAM+Samba搭建流程
07-01
openldap是一款轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP),属于开源集中账号管理架构的实现,且支持众多系统版本,被广大互联网公司所采用。 本文章包括安装OpenLDAP、添加LDAP用户和组、安装和配置LAM(LDAP Account Manager)、配置Samba(配置Samba与OpenLDAP的集成,包括连接OpenLDAP服务器、认证方式等)、启动OpenLDAP、LAM和Samba服务,使用LDAP用户登录和访问Samba共享目录,测试身份验证和访问权限。 可能因环境和需求的不同部署中有所差异。在实际搭建过程中,建议参考OpenLDAP、LAM和Samba的官方文档或相关的部署指南,以获取更详细和准确的配置步骤和说明。此外,确保在搭建过程中遵循安全最佳实践,并根据具体需求进行额外的配置和优化。
Zhong__iRedmail安装和配置
Zhong的博客
08-08 1983
在 Debian/Ubuntu 系统上,此文件路径为 /usr/share/apache2/roundcubemail/.htaccess 或者 /opt/www/roundcubemail/.htaccess.通过 https://www.spamhaus.org/query/ip/xxx.xxx.xxx.xxx 移除不被信任的域名/ip即可。不同系统方式略有差异。在 RHEL/CentOS 系统上,此文件路径为 /var/www/roundcubemail/.htaccess。
【DevOps】gitlab集成openldap,控制登录用户gitlab
CN_Eden
08-16 865
摘要最终效果配置 最终效果 使用LDAP上用户数据,可以登录到gitlab服务 配置 修改gitlab服务配置文件gitlab.rb vim gitlab.rb 直接在文件的顶部添加下面代码即可 gitlab_rails['ldap_enabled'] = true ##! **remember to close this block with 'EOS' below** gitlab_rails['ldap_servers'] = YAML.load <<-'EOS' main:
iRedmail 邮箱系统安装的保姆级教程
贵有恒,何必三更起五更睡;最无益,只怕一日曝十日寒。
07-21 1657
请注意,这只是一个简要的概述,实际的安装过程可能会因操作系统、iRedMail 版本和个人需求而有所不同。在进行任何系统更改之前,请务必备份重要的数据并仔细阅读 iRedMail 的官方文档和安装指南,以获取更详细的说明和指导。- 获取一台新的服务器,确保它满足 iRedMail 的最低系统要求。您可以在 iRedMail 官方网站(https://www.iredmail.org/)上找到下载链接。- 安装过程可能需要一些时间,具体时间取决于您的服务器性能和配置选择。- 安装脚本将引导您完成安装过程。
企业网中nextcloud与iRedmail邮件系统的配合
三禾工作室
06-02 3248
优秀的邮件解决方案:iredmail,配置一个完善的邮件系统并不容易,iredmail基本上将这个问题解决的比较彻底,因此邮件系统的蓝本就是以iredmail为基准。 iredmail使用的是zui
iRedMail邮件服务器搭建(centos7.6+ldap)
ousamadm的博客
06-11 2995
一、准备工作 1、最小化安装centos 7.6 2、添加epel数据源(为了提高安装速度,将centosBase源、eple源配置为国内源,可选ustc、aliyun) 3、配置FQDN #hostnamectl set-hostname mail.example.com #vi /etc/hosts 127.0.0.1 mail.example.com mail localho...
CentOS6下OpenLDAP+PhpLdapAdmin高可用部署记录(个人精华版)
09-02
本篇文档详细记录了CentOS6下OpenLDAP+PhpLdapAdmin高可用部署过程,本人线上实操手册,验证无误!特在此分享,希望能帮助到有用到的朋友.
详解samba + OPENldap 搭建文件共享服务器问题
09-29
主要介绍了samba + OPENldap 搭建文件共享服务器,这里我使用的是 samba(文件共享服务) v4.9.1 + OPENldap(后端数据库软件) v2.4.44 + smbldap-tools(后端数据库管理软件) v0.9.11 + CentOS7。 需要的朋友可以参考下
centos7.3 +openldap+phpldapadmin+ssh
02-27
集成openldap,phpldapadmin和 ssh,centos7.3 用户自动创建家目录。
gitlab上传新创建的工程项目
HD243608836的博客
04-22 367
git initgit add .
gitea是什么,与gitlab和github对比有什么特点
zachary的博客
04-23 1314
Gitea是一个轻量级的DevOps平台软件,它支持Git托管、代码审查、团队协作、软件包注册和CI/CD等功能。与GitHub和GitLab相比,Gitea的一个显著特点是它提供了自托管的能力,这意味着用户可以完全控制自己的仓库和基础设施,而不需要依赖外部服务提供商[2]。此外,Gitea的设计目标是易于安装和使用,它的性能出色,能够快速响应各种请求,保证用户体验[4]。与GitHub相比,GitHub提供了更友好的用户界面、更广泛的社区和集成选项、可扩展性、定价选项和定制选项。
【运维】Gitlab备份
最新发布
Catherine_G的博客
04-26 366
使用以上命令会在/var/opt/gitlab/backups目录下创建一个名称类似为1530156812_2018_06_28_10.8.4_gitlab_backup.tar的压缩包, 这个压缩包就是Gitlab整个的完整部分, 其中开头的1530156812_2018_06_28_10.8.4是备份创建的日期。可手工备份/etc/gitlab/的所有文件:cp -R /etc/gitlab/默认的备份目录为/var/opt/gitlab/backups/
GitLab存储空间满了
江湖郎中
04-19 403
在Ubuntu虚拟机中安装的GitLab,空间满了,GitLab用不了了。折腾了一天,新增分区找回了空间,给GitLab设置了新分区,终于搞定了。
Jenkins和gitlab实现CICD
平时不搬砖的博客
04-20 1145
想起公司的代码发布流程,只要个人分支的代码测试通过之后,合并到master分支的时候会自动构建和发布还是挺方便的,想着是不是能借鉴下,自己弄一个只要代码提交到gitlab的时候Jenkins自动构建自动发布自动生成测试报告呢。但是有个问题docker是在宿主机中的,Jenkins是安装docker容器中的,咱们的TracerBackend服务也是用容器部署的,那安装在Jenkins的容器怎么调用到宿主机的docker呢。使用清华的镜像源,找到最新的版本的源更新到Jenkins插件中更新站点中。
【Jenkins】持续集成与交付 (六):Gitlab代码托管服务安装
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-25 786
【Jenkins】持续集成与交付 (六):Gitlab代码托管服务安装
linux统一身份认证,OpenLDAP统一身份认证 [CentOS6/7]
06-09
Linux统一身份认证Linux Unified Authentication)是一种集中管理用户账户的系统,它可以让用户在不同的Linux系统上使用同一组账号和密码登录,从而提高系统的安全性和管理效率。OpenLDAP是一种开源的LDAP(Lightweight Directory Access Protocol)服务器,它可以用于实现统一身份认证。 在CentOS 6/7上,可以通过安装和配置OpenLDAP来实现Linux统一身份认证。具体步骤如下: 1. 安装OpenLDAP 在终端中执行以下命令安装OpenLDAP: ``` yum install openldap-servers openldap-clients ``` 2. 配置OpenLDAP 配置OpenLDAP需要编辑配置文件/etc/openldap/slapd.conf。以下是一个简单的配置示例: ``` include /etc/openldap/schema/core.schema pidfile /var/run/openldap/slapd.pid argsfile /var/run/openldap/slapd.args access to * by * read database bdb suffix "dc=example,dc=com" rootdn "cn=admin,dc=example,dc=com" rootpw {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxx directory /var/lib/ldap index objectClass eq ``` 其中,suffix表示LDAP数据库的命名空间,rootdn和rootpw表示管理员账户的用户名和密码。 3. 启动OpenLDAP 在终端中执行以下命令启动OpenLDAP: ``` systemctl start slapd.service ``` 4. 配置客户端 在需要进行认证的Linux客户端上,需要安装和配置nss-pam-ldapd。具体步骤如下: ``` yum install nss-pam-ldapd authconfig --enableldap --enableldapauth --ldapserver=ldap://ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update ``` 其中,ldapserver和ldapbasedn分别表示LDAP服务器的地址和命名空间。 5. 测试认证 在客户端上执行以下命令测试认证: ``` id username ``` 其中,username为LDAP服务器上已存在的用户账户。 以上就是在CentOS 6/7上实现Linux统一身份认证的基本步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值