项目管理秘术之LDAP+Gitea统一认证Git服务器账户管理

最新推荐文章于 2024-04-19 15:30:00 发布
最新推荐文章于 2024-04-19 15:30:00 发布
阅读量4.7k 收藏 7
点赞数
分类专栏: linux 文章标签: LDAP FreeIPA Gitea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lp8800/article/details/103150447
版权

很多时候我们需要管理多个内容管理系统,比如Jira、Jenkins、GitEA/Gitlab等等各种管理系统,我们需要每一套管理系统每个人都管理一套密码,每套系统每套密码简直是一种灾难,于是LDAP可以解决我们的问题,帮我们统一账户登录认证,是最早的SSO系统雏形,方便的在各个系统中登录。

首先我们需要搭建一个LDAP管理系统,我们选用FreeIDA,宿主系统我们选用Fedora。

 

由于使用FreeIPA会顺便帮我们搭建好一系列有关Linux账户、DNS服务、389 Directory LDAP服务、证书管理等各种账户统一 登录认证、策略等功能,于是我们选用FreeIPA来帮我们做好大部分工作,我们只需要配置好我们的服务器为静态IP、并且想好一个域名即可,比如我们当前的例子使用的根域名为dsfedora.org,主机域名hostname 为 www.dsfedora.org,配置/etc/hostname和/etc/hosts绑定时需要注意本机名称一致性。

$ vim /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
# 本地IP地址,主机名,注意IP需要先配置为静态IP
192.168.0.200  www.dsfedora.org


$ vim /etc/hostname 
# 注意本机主机名要和hosts中的本机绑定主机名一致
www.dsfedora.org

并且在防火墙加入放行端口:

$ sudo firewall-cmd --add-service=freeipa-ldap --add-service=freeipa-ldaps
$ sudo firewall-cmd --add-service=freeipa-ldap --add-service=freeipa-ldaps --permanent

然后安装FreeIPA包:

$ sudo dnf install freeipa-*
$ sudo dnf install bind bind-chroot

如果是centos系统,则使用yum命令,而不是dnf。

然后执行ipa-server-install命令,过程参考这个哥们的配置:

https://blog.csdn.net/hdyebd/article/details/88712320 

注意点1,在配置ipa-server-install过程中需要输入目录服务管理器密码,以及IPA管理员admin用户密码,在这里我们都设置为12345678, 用作测试。

注意点2,在配置ipa-server-install过程中需要配置DNS转发,请一定要设置一个公开的DNS地址,比如114.114.114.114、8.8.8.8等,否则会因为不转发DNS导致本机无法透过网络进行域名解析。

 

于是我们就配置好了FreeIPA,现在我们可以在我们的内网测试机中加入hosts

在C:\Windows\System32\drivers\etc文件加入行:

192.168.0.200  www.dsfedora.org

我们此时就可以在浏览器中打开Free IPA 的web控制台了。

 

 

我们需要登录进去,添加测试用户。

这里使用我们刚才的管理员用户密码:admin,密码12345678。

我们 点击添加增加新用户,添加了一个test用户,密码为test. 然后退出admin账户,登录test账户,会让我们修改密码,我们重新修改成12345678,并且登录进去,我们可以看到这是一个权限非常受限的账户。

由此我们Free IPA配置和测试账户建立结束。FreeIPA的LDAP也已经就绪。待我们使用GitEA接入了。

 

现在我们打开GitEA管理员账户:进入管理面板,选择认证源并且添加一个LDAP认证源。并且填写以下内容。主机名按照自己的配置来设置:

 

以上表单的配置,除了主机名按照自己的配置以外,均可以按照上图原封不动的照抄配置。添加认证源后,我们下次登录时,就可以用FreeIPA中的用户直接登录到我们的Git EA系统中了,GitEA可以直接从我们的FreeIPA的LDAP认证源中读取用户信息了。

其中,由于我们的FreeIPA同时也创建了证书,如果认证源使用了安全协议LDAPS或者TLS,会因为证书信任问题被Git EA拒绝连接,所以我们不选择加密认证,使用Unencrypted。

 

到此为止我们已经配置好了使用LDAP用户登录我们的系统。

需要解释的两个地方:

 

用户搜索基准:

cn=users,cn=accounts,dc=dsfedora,dc=org

由于FreeIPA的LDAP模型是在组织dsfedora.org下的条目(又称DN)cn=accounts存储用户信息条目cn=users的,在cn=users条目下存储了条目,这些条目就是用户id,比如test用户的条目就叫uid=test,该条目下就会存储test用户相关的任意属性和对象类别,比如上图中的uid、sn、givenName、以及mail等属性,这些大多数都是Text类型的属性。

 

用户过滤规则:

(&(objectclass=top)(uid=%s))

刚才说了uid=test下有很多属性,其中还有一种属性叫做ObjectClass,叫对象类别 类型,它是一种属性类型,并且有多个名叫objectclass的对象类别属性(注意大小写),因此我们在用户过滤规则中,可以用一个通用的对象类别为objectclass=top,然后将uid作为查找依据uid=%s进行用户过滤。

绑定user DN和绑定password可以留空。

XellossRyan
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Vue+Jwt+SpringBoot+Ldap完成登录认证的示例代码
01-21
本人野生程序员一名,了解了一些微服务架构、前后端分离、SPA的知识后就想试试做点什么东西。之前一直做后端,前端只是有基础知识。之前学习过angularjs,但当时就是一脸懵逼(完全看不懂是啥)就放弃了。最近又学了Vue,这次感觉总算明白了一些,但其中也跳过很多坑(应该还会更多),在这里写下来记录一下吧。 说回主题,之前传统登录认证的方法基本是由服务器端提供一个登录页面,页面中的一个form输入username和password后POST给服务器服务器将这些信息与DB或Ldap中的用户信息对比,成功则将这个用户信息记录到session中。 这里我就跳了第一个大坑。传统方式前后端不分离,后端负责
基于LDAP统一用户管理系统.zip
12-11
基于LDAP统一用户管理系统的研究与应用,内容充实。基于LDAP统一用户管理系统的研究与应用,内容充实。
Spring Boot中使用LDAP统一管理用户信息的示例
08-28
本篇文章主要介绍了Spring Boot中使用LDAP统一管理用户信息的示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
ldap服务器用户及权限管理控制linux操作系统-电脑资料.doc
12-21
ldap服务器用户及权限管理控制linux操作系统-电脑资料.doc
Gitea安装教程
Alonei6的博客
03-30 840
Gitea是⼀个极易安装,运⾏⾮常快速,安装和使⽤体验良好的⾃建Git服务。并且他还⽀持跨平台,⽀持Linux、macOS和Windows以及各种架构,除了x86,amd64,还包括ARM和 PowerPC。说明:Gitea是从Gogs发展⽽来,同样的拥有极易安装,运⾏快速的特点,⽽且更新⽐Gogs频繁很多,维护的⼈也多,个⼈认为Gitea还是更好⼀些的,这⾥就说下安装⽅法。⽀持MySQL、PostgreSQL、SQLite3、MSSQL和TiDB(实验性⽀持)数据库。⽀持迁移和镜像仓库以及它的Wiki。
群晖搭建LDAP服务器实现一个账号登录DSM、Gitea、jellyfin
三思的博客
01-17 2097
LDAP(轻量级目录访问协议)是一种用于访问和管理分布式目录服务的协议,它具有以下好处:集中管理用户身份认证和授权:LDAP提供了一种方法,使组织能够集中管理用户的身份认证和授权。通过将用户信息存储在一个中心化的目录服务中,管理员可以更轻松地管理用户账户、密码策略和权限。也就是说通过ldap 可以实现一个账号、密码可以登陆多个系统或者应用程序,只要他们支持LDAP
GitLab配置Ldap认证
魔希达的博客
05-18 6486
前言 如果你的团队有用微软的AD目录服务或OpenLDAP等服务进行统一的用户管理和身份认证的话,那么让GitLab支持ldap账号登录将是很好的体验。 版本信息:GitLab v13.12.15 1、需要准备一个层级较高的特殊ldap用户,比如想要所有一级部门及下属用户都支持ldap登录,则该特殊用户层级需在一级部门之上。 2、找到gitlab.rb配置文件,它通常在/etc/gitlab目录下。 3、添加以下配置: gitlab_rails['ldap_enabled'] = true gitla
Gitlab集成Ldap认证登录报错
weixin_45374394的博客
04-19 2669
管理员账号登录Gitlab后台,从管理中心进去用户管理界面,找到对应用户,可在用户详情看到用户的身份标识(对应Ldap中的DN)还是旧的组织架构,编辑修改成新的DN后可正常登录。确认Ldap用户的邮箱与Gitlab用户的邮箱一致,我发现有些员工在Ldap中没有录入邮箱,修改Ldap用户邮箱为Gitlab邮箱后可正常登录。我们gitlab是通过docker部署的,这边说下容器里postgresql的连接方式。处理完邮箱后有个别员工还是无法登录,通过手动修正Gitlab中的用户身份标识解决。
gitlab与ldap集成
saynaihe的博客
03-03 2384
这里完成了 gitlab 与ldap mail的整合,ldap并没有进行更严格的匹配方式,mail也没有自定义配置接下来要考虑gitlab项目组权限?各种配置还有怎么能导入其他gitlab的仓库?常用的命令**: sudo gitlab-ctl reconfigure sudo gitlab-ctl restart gitlab-rails console sudo gitlab-rake gitlab:ldap:check 等等**
Gitlab实战3:Gitlab用户注册及管理
热门推荐
Yan
01-22 3万+
Gitlab实战:1.阿里云服务购买(学生) Gitlab实战2:服务器Ubuntu16.04安装Gitlab Gitlab实战3:Gitlab用户注册及管理 背景 正常情况下,Gitlab是公开注册,任何人都可以注册,这不符合我们使用Gitlab的原则。因此需要取消公开注册,使用邮箱邀请注册的方式。 参考资料 http://blog.csdn.net/jackghq/articl
svn+ldap+sasl认证(svn通过ldap用户进行认证登陆)
06-30
svn+ldap+sasl认证(svn通过ldap用户进行认证登陆)
Gitea:开源世界的协作灵魂
最新发布
逆流的小鱼
04-19 546
Gitea,一个迅速崛起的开源Git服务,它为开发者社区提供了一个简约、可靠且功能强大的自托管代码托管平台。设立于2016年,Gitea采用Go语言开发,保证了软件的轻量化和高性能,同时该平台完全开源,协助企业和个人实施有效的DevOps实践。
服务器集群配置LDAP统一认证高可用集群(配置tsl安全链接)-centos9stream-openldap2.6.2
zrc_xiaoguo的博客
11-16 1950
因之前集群为centos6,已经很久没升级了,所以这次配置统一用户认证也是伴随系统升级到centos9时一起做的配套升级。新版的openldap配置大致与老版本比较相似,但有些地方配置还是有变化,另外,铺天盖地的帮助文档有相当一部分是直接搬砖过来的,所以参考时容易出错,这里将自己实践的内容一一共享,让大家更方便,更实用。另外,openldap的配置一般都采用ldif文件配置后使用命令导入,如果有人写的是要直接修改config目录下的文件的话赶紧绕道吧,那不是推荐的写法,会把你的配置搞乱的。
gitea简单介绍
兔子的博客
04-06 314
它提供了自托管、用户友好界面、多种身份验证方式、强大的权限管理和丰富的插件生态系统等功能。无论是个人开发者、小型团队还是企业,都可以通过Gitea轻松地搭建和管理自己的Git仓库,并实现高效的代码协作和版本控制。强大的权限管理Gitea提供了灵活的权限管理功能,可以细粒度地控制用户对仓库和组织的访问权限。管理员可以设定用户角色、团队权限和仓库级别的访问控制,确保代码的安全性和保密性。用户界面:Gitea提供了相对比较直观、简洁的用户界面,类似于GitHub,使用户能够轻松地创建、管理和浏览仓库。
LDAP认证-ldap搭建
qq_39122260的博客
02-16 1623
安装 openldap yum -y install openldap-2.4.44-23.el7_9.x86_64.rpm openldap-servers-2.4.44-23.el7_9.x86_64.rpm openldap-clients-2.4.44-23.el7_9.x86_64.rpm openldap-devel-2.4.44-23.el7_9.x86_64.rpm openldap-servers-sql-2.4.44-23.el7_9.x86_64.rpm mig
CentOS+Jenkins+Gitea+宝塔环境搭建 实现自动化部署
A1311878170的博客
03-18 2217
CentOS+Jenkins + Gitea+宝塔 实现CI/CD 一、安装最新版 Jenkins 1、安装 JAVA JDK yum -y install java [root@ecs-487c-0002 ~]# java -version openjdk version "1.8.0_302" OpenJDK Runtime Environment (build 1.8.0_302-b08) OpenJDK 64-Bit Server VM (build 25.302-b08, mixed mod
统一身份认证(SSO/AD域/LDAP
weixin_44281141的博客
03-17 5333
公司需要一个统一认证系统,自助分配权限系统,定期审计,集中分配与追踪所有权限,便于记录。单点登录网络生活中随处可见,比如登录了QQ客户端,然后你可以打开腾讯微博,QQ空间,QQ邮箱,校友录等等一系列的应用,这时候我们不需要在一个个再输入用户名和密码了,作为受信任的站点,就可以直接登录了。入职后每个人会接触多个系统,项目管理系统,需求管理系统,代码仓库,持续集成,文件服务器,有八个系统就有八个密码,每个系统用一个密码安全隐患较大,每个系统都用不同的密码也不容易记住。收费较高,公司使用不建议使用破解版本。
Linux - 搭建LDAP统一认证服务
11-17 6612
目的 通过以下步骤最终可使用ldap server中的用户登录一台ldap client,并允许有sudo权限。平常公司中所用的域账号以及服务器账号也许就是使用如下方式,但是应该没有这么简陋,只是借机了解一波ldap 环境信息 [root@suhw ~]# hostnamectl Static hostname: suhw Icon name: computer-vm Chassis: vm Machine ID: c9006a74a367
云原生丨三步教你使用DEX轻松实现单点登录(SSO)
在数字化道路无限探索
02-16 1470
DEX实现SSO在项目中的实践。
无线ldap认证服务器,结合LDAP服务器进行portal认证配置案例
05-26
在无线网络中,LDAP认证服务器结合LDAP服务器进行portal认证通常被用来管理用户身份验证和访问控制。 以下是一个简单的配置案例: 1. 首先,您需要安装和配置LDAP服务器。您可以使用OpenLDAP或Microsoft Active Directory等LDAP服务器。 2. 在您的无线接入点上启用portal认证。这通常需要在接入点的控制台或Web界面中进行配置。确保将端口设置为LDAP服务器使用的端口(通常是389或636)。 3. 在LDAP服务器上创建用户帐户和组。您可以使用LDAP客户端工具(如Apache Directory Studio)创建用户和组。 4. 在LDAP服务器上创建一个名为“cn=wireless,dc=example,dc=com”的组。将所有具有无线访问权限的用户添加到此组中。 5. 在LDAP服务器上创建一个名为“cn=wireless,ou=policies,dc=example,dc=com”的策略对象。将以下属性添加到此对象中: - objectClass: radiusProfile - cn: wireless - radiusTunnelType: 13 - radiusTunnelMediumType: 6 - radiusTunnelPrivateGroupId: 1000 - radiusServiceType: Framed-User - radiusFilterId: wireless 6. 在LDAP服务器上创建一个名为“cn=wireless,ou=groups,dc=example,dc=com”的用户组对象。将以下属性添加到此对象中: - objectClass: radiusGroup - cn: wireless - radiusGroupName: wireless - radiusFilterId: wireless 7. 在LDAP服务器上的“cn=wireless,ou=groups,dc=example,dc=com”中添加用户到“cn=wireless,dc=example,dc=com”组中。 8. 在无线接入点上启用LDAP认证服务器。在控制台或Web界面上配置以下设置: - 服务器类型:LDAP - 服务器地址:LDAP服务器的IP地址或主机名 - 端口:LDAP服务器使用的端口(通常是389或636) - 基本DN:LDAP服务器上存储用户和组的基本DN(例如:dc=example,dc=com) - 用户名属性:LDAP服务器上用户名的属性(例如:uid或cn) - 组名称属性:LDAP服务器上组名称的属性(例如:cn) - 组成员属性:LDAP服务器上组成员的属性(例如:memberUid或member) - 组策略属性:LDAP服务器上组策略的属性(例如:radiusGroupName) 9. 将无线接入点连接到LDAP服务器并测试认证。确保可以使用LDAP用户凭据登录到无线网络。 这是一个基本的LDAP认证服务器结合LDAP服务器进行portal认证的配置案例。根据您的网络和LDAP服务器的要求,您可能需要进行其他配置更改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值