LDAP添加 memberOf 模块

最新推荐文章于 2022-07-05 18:21:01 发布
最新推荐文章于 2022-07-05 18:21:01 发布
阅读量5.8k 收藏 5
点赞数 2
分类专栏: LDAP Linux 运维 文章标签: memberOf Openldap Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011607971/article/details/119037796
版权

ldap的group是一种单独的类型objectClass: groupOfNames, 有个字段叫做member, value就是entry的dn。如此,实现了group-user的映射关系。

我们可以通过group来查询member,然而,并不能通过user直接获取到group。这在配置第三方系统的时候,没办法做group认证,比如airflow要求输入group filter, 默认通过memberof的属性值来获取group。gitlab如果要做分组进行登录限制要求输入 memberof 的属性值来获取 group。所以,理论上user应该有个字段叫做memberof,value是group。

大家可能会觉得dn已经很明显的分组了好吧,为啥还要这么复杂。事实上,ldap也提供了Reverse Group Membership Maintenance.由系统来维护二者的映射关系。即

  • group添加member的时候会自动给对应的entry添加memberof字段

  • 当删除entry的时候,也会从group里删除member字段

添加 memberOf 模块

添加 add_module_group.ldif 文件 在不知道memberof.la文件在什么位置时(find / -name memberof.la)

dn: cn=module,cn=config
cn: module
objectClass: olcModuleList
olcModulePath: /usr/lib64/openldap

dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: memberof.la

应用ldap 配置

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f  add_module_group.ldif

添加 add_group_objectClass.ldif 文件,增加 objectClass 支持

dn: olcOverlay=memberof,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfNames
olcMemberOfMemberAD: member     
olcMemberOfMemberOfAD: memberOf

应用 ldap 配置

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add_group_objectClass.ldif

新增 groupOfNames类型的组,add_group.ldif

dn: cn=gitlab-users,ou=Groups,dc=magic,dc=com
objectClass: groupOfNames
cn: gitlab-users
member: uid=xxx,ou=Users,dc=magic,dc=com

创建组

ldapmodify -a -H ldap://192.168.1.69:389 -D "cn=manager,dc=magic,dc=com" -w root123 -f addgroup.ldif

查看组

ldapsearch -H ldapi:/// -x -D "cn=manager,dc=magic,dc=com" -w root123 -b "ou=Groups,dc=magic,dc=com"
# gitlab-users, Groups, magic.com
dn: cn=gitlab-users,ou=Groups,dc=magic,dc=com
objectClass: groupOfNames
cn: gitlab-users
member: uid=xxx,ou=Users,dc=magic,dc=com

再来查看entry是否添加了memberof, ldapsearch当不指定字段的时候,默认返回全部强制字段,memberof不属于强制,需要单独指明

ldapsearch -H ldapi:/// -x -D "cn=manager,dc=magic,dc=com" -w root123 -b "ou=Users,dc=magic,dc=com" "(|(cn=xxx)(cn=gitlab*))" memberof

# extended LDIF
#
# LDAPv3
# base <ou=Users,dc=magic,dc=com> with scope subtree
# filter: (|(cn=xxx)(cn=gitlab*))
# requesting: memberof 
#

# xxx, Users, magic.com
dn: uid=xxx,ou=Users,dc=magic,dc=com
memberOf: cn=gitlab-users,ou=Groups,dc=magic,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

完成

Y-Loong
关注
专栏目录
Ldap笔记
shuangmu9768的博客
09-03 1万+
【1】ldap介绍 【2】centos搭建OpenLDAP 【3】LDAP的objectClass及Attribute 【4】Ubuntu下安装OpenLDAP图形管理工具 【5】OPENLDAP 访问控制 【6】LDAP常用命令 【7】自助修改或重置密码服务Self Service Password 【8】其他资料 【9】ldap数据迁移 【1】ldap介绍 LDAP入门 LDAP概念和原理介绍 Ldap中文网 OenLDAP 配置记录 LDAP的中文全称是:轻量级目录访问协议。 LDAP是一种通讯协议
GitLab集成LDAP登录并解决OpenLDAPmemberOf问题
热门推荐
点滴成长
09-14 2万+
LDAP是Light weight Directory Access Protocol(轻量级目录访问协议)的缩写,其前身是更为古老的DAP协议。该文章的亮点(也是写这篇文章的主要目的)是解决了 OpenLDAP(我使用的版本号为2.4.*)加载memberof模块,并通过groupOfNames和memberOf实现分组认证的功能。
启用OpenLDAPmemberOf特性
Listen2You的博客
09-14 6788
之前,我们已经通过 Docker 的方式安装部署了 OpenLDAP 服务。所以本文将主要介绍如何启用 OpenLDAP 中非常有用的 memberOf 特性。 很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的(member of)。memberOf 正是提供了这样的一个功能:如果某个组中通过 member 属性新增了一个用户,OpenLDAP 便会自动在该用户上创建一个 memb...
ldap添加memberof支持
weixin_30896511的博客
08-13 940
安装请查看上一篇博客,传送门:https://www.cnblogs.com/crysmile/p/9470508.html 如果使用LDAP仅仅作为用户统一登录中心,则参考安装文档即可;如果ldap要与第三方软件结合,例如confluence、gitlab等结合,则需要开启memberof支持。 请根据实际需要,进行修改使用。 1、设置config支持密码验证。 vim 1-chroo...
CentOS 6.5安装Openldap添加memberof属性
weixin_33922672的博客
10-13 457
默认情况下,openLDAP安装之后schema中是没有memberof属性的,如果只是通过ldap进行系统登录认证还没有什么影响,但是如果是和第三方应用结合,那么这就成了一件痛苦的事儿。环境说明主机名角色IP地址ldapserver.contoso.comopenLDAP server192.168.49.139一、准备环境[root@ldapserver~]#ipta...
OpenLDAP开启MemberOf及配置主从
格子的博客
07-05 1541
很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的。`memberOf` 正是提供了这样的一个功能:如果某个组中通过 `member` 属性新增了一个用户,`OpenLDAP` 便会自动在该用户上创建一个 `memberOf` 属性,其值为该组的 `dn`。遗憾的是,`OpenLDAP` 默认并不启用这个特性,因此我们需要通过相关的配置开启它...............
ldap
fengfan2008vip的专栏
04-24 601
package ldap;import java.util.Properties;import javax.naming.*;import javax.naming.ldap.*;import javax.naming.directory.*;public class Client { public static void main(String[] ar
openLdap添加memberOf属性
weixin_30566111的博客
05-13 746
我为openldap添加memberof属性的时候参考了这个文章:http://www.adimian.com/blog/2014/10/how-to-enable-memberof-using-openldap/ 但是文章上用的ldap的版本有些旧了,有些属性的名字在新的版本的ldap里边已经变更了,所以记录一下。 变更有以下两点: 用户组的objectClass从 groupOfNames 变...
harbor与openldap集成(memberof)
u010533742的博客
05-18 822
ldapURL:ldap://192.168.11.194 LDAP搜索DN:cn=admin,dc=fly,dc=cn #咨询ldap管理员,如果ldap支持匿名搜索这个不用配置 LDAP搜索密码:xxxxxx #咨询ldap管理员,如果ldap支持匿名搜索这个不用配置 LDAP基础DN:ou=users,dc=fly,dc=cn #LDAP过滤器:objectclass=posixAccount #如果开启了memberof属性参考
如何在OpenLDAP启用MemberOf
qq_23191379的博客
06-20 3345
文章目录OpenLDAP启用MemberOf创建用户测试 默认情况下OpenLDAP的用户组属性是Posixgroup,Posixgroup用户组和用户没有实际的对应关系。如果需要把Posixgroup和user关联起来则需要将用户添加到对应的组中。 通过如上配置可以满足大部分业务场景,但是如果需要通过用户组来查找用户的话,Posixgroup用户组属性,是无法满足要求的。此时需要使用OpenLDAP的groupOfUniqueNames用户组属性。 环境 OpenLDAP版本:2.4.44 系统:Ce
尝试debian-9.13.0-amd64下apache和proftpd用openldap整合按组认证笔记之一:openldap中加入memberOf特性
流窜疯的专栏
10-11 573
原本在debian-7.11.0-amd64下钻研同一个目标还没完全搞定,发现stretch最后一版已经发布,就干脆从零开始详细记录下过程 debian7 debian9 apache 2.2 2.4 openldap HDB MDB php 5.4 7.0 proftpd 1.3.5e ...
Cloudera Manager 配置 LDAP - 通过搜索绑定实现用户和组的映射
跟着大数据和AI去旅行
01-26 3833
直接绑定和搜索绑定 因为使用直接绑定方式,会导致集群无法被多个团队的多个角色混用。举个例子,我们有这样的场景: 用户 a1 属于组 A,组 A 对应 Sentry 中的 dev 角色; 用户 a2 属于组 A,组 A 对应 Sentry 中的 dev 角色; 用户 b1 属于组 B,组 B 对应 Sentry 中的 ops 角色; 用户 b2 属于组 B,组 B 对应 Sentry 中的 o
ldap 用户登录计算机,LDAP入门之一、查询用户、计算机
weixin_35222747的博客
06-28 774
關於LDAP的查詢:1、查询种类:A、(objectCategory=computer)B、(objectCategory=group)C、(objectCategory=user)D、(&(objectCategory=person)(objectClass=user))E、(objectcategory=contact)2、语法基础=---------------------(EQUA...
java查询ldap定制返回属性,java – 如何从ldap DirContextOperations获取memberOf属性
weixin_35671798的博客
03-15 742
我想获得一个用户所属的组列表,目前我可以获得如下的大多数属性CustomLdapUserDetails.Essence essence = new CustomLdapUserDetails.Essence();essence.setDn(dn);Object passwordValue = ctx.getObjectAttribute(passwordAttributeName);String ...
liferay通过ldap同步用户([用户组])设置(二)
xyy511的专栏
07-23 1792
转自:http://blog.sina.com.cn/s/blog_472b9eb20100ni26.html   Import & Export import(liferay4.2后可用): liferay能够周期性检查ldap server然后添加新增用户到 portal 数据库,如下: 查找新增用户,增加它们到portal并copy影射属性信息 同步ldap server已
Linux 安装并配置 OpenLDAP 新编(6)模块管理
05-07 912
OpenLDAP如何启用memberof功能,什么是overlay,如何启用模块,以及用户、组之间的关联。
LDAP组的概念以及命令
小胡子
04-22 3054
Oracle统一目录支持组,组是作为单个对象管理的条目集合。通常,目录管理员配置打印机组、软件应用程序组、员工组等。在为一组用户分配特殊访问权限时,组尤其有用。例如,您可以配置一组访问管理器,并分配权限,使其能够查看机密员工数据,但限制公司中的任何其他人访问该数据。 支持以下组类型: 静态组 通过使用groupOfNames、groupOfUniqueNames或groupOfEntries对象类提供显式的可分辨名称集(DNs)来定义其成员身份。静态组得到了外部客户机的良好支持,并提供了良
计算机 用户查询,LDAP入门之一、查询用户、计算机
weixin_32859127的博客
06-23 784
�於LDAP的查�:1、查询种类:A、(objectCategory=computer)B、(objectCategory=group)C、(objectCategory=user)D、(&(objectCategory=person)(objectClass=user))E、(objectcategory=contact)2、语法基础=---------------------(EQUA...
ldap添加用户命令
最新发布
08-29
ldap添加用户的命令可以使用ldapadd命令来实现。通过ldapadd命令,可以向LDAP服务器添加新的用户。具体的命令格式如下所示: ldapadd -x -c -W -D "管理员账号" -f ldif文件路径 其中,-x参数表示使用简单认证方式,-c参数表示在执行过程中出现错误时继续执行,-W参数表示在执行命令时需要输入管理员账号的密码,-D参数指定管理员账号的DN(Distinguished Name),-f参数指定包含用户信息的ldif文件的路径。 举个例子,假设我们要添加一个名为XiaoMing的用户,设置其家目录为/home/xiaoming,管理员账号为admin,密码为password,那么具体的命令如下: ldap***user.ldif文件包含了用户的信息,其中包括了用户的DN以及其他属性的设置。 请注意,执行ldapadd命令之前,需要确保已经正确配置了LDAP服务器和管理员账号的权限。同时,ldif文件中的用户信息也需要按照LDAP服务器的要求进行正确填写。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [LDAP系列二创建用户](https://blog.csdn.net/xyy511/article/details/90521086)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [Ldap添加新用户](https://blog.csdn.net/zhxue123/article/details/7481180)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值