开发者社区> 37丫37> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

ldap落地实战:svn集成ldap认证

简介: 上一篇文章我们介绍了LDAP的部署以及管理维护,那么如何接入LDAP实现账号统一认证呢?这篇文章将带你完成svn的接入验证 subversion集成openldap认证 系统环境:debian8.
+关注继续查看

上一篇文章我们介绍了LDAP的部署以及管理维护,那么如何接入LDAP实现账号统一认证呢?这篇文章将带你完成svn的接入验证

subversion集成openldap认证

  • 系统环境:debian8.4
  • svn部署环境:apache2.4 + subversion
  1. apache开启ldap相关模块
# a2enmod ldap
Enabling module ldap.
To activate the new configuration, you need to run:
  service apache2 restart
# a2enmod authnz_ldap
Considering dependency ldap for authnz_ldap:
Module ldap already enabled
Enabling module authnz_ldap.
To activate the new configuration, you need to run:
  service apache2 restart
  1. 修改vhost配置文件,添加对ldap的支持
<Virtualhost *:8088>
    DocumentRoot /home/svn/repos/
    ServerName svn.domain.com
    
    <Location /ne/>
        DAV svn
        SVNListParentPath on
        SVNParentPath "/home/svn/repos"

        AuthType Basic
        AuthName "Subversion Repository"
        
        #AuthUserFile "/etc/subversion/dav_svn.passwd"
        AuthzSVNAccessFile "/etc/subversion/dav_svn.authz"

        # use LDAP auth
        AuthBasicProvider ldap
        AuthLDAPBindAuthoritative on
        AuthLDAPURL "ldap://ldap.domain.com/dc=domain,dc=com?uid?sub?(objectclass=*)"
        AuthLDAPBindDN "uid=authz,ou=Public,dc=domain,dc=com"
        AuthLDAPBindPassword "AzdfD863M4"

        Require ldap-user
        
    </Location>
</Virtualhost>

主要LDAP配置文件详解:

  • AuthType:验证类型,Basic使用账号密码验证
  • AuthName:提示字符串
  • AuthBasicProvider:使用ldap验证
  • AuthLDAPBindAuthoritative:on表示只要求验证ldap用户,别的不认,off则可以使用svn的账号和ldap混合账号登录
    • apache2.2中配置是AuthzLDAPAuthoritative,到2.4中改为了AuthLDAPBindAuthoritative
    • 但在实际应用中发现并么有什么用,设置为off后ldap认证失败也不会去找AuthzSVNAccessFile,或许是我姿势不对,有知道原因的烦请告知
  • Require:ldap-user或valid-user
  • AuthLDAPURL | AuthLDAPBindDN | AuthLDAPBindPassword: 用于查找用户的账号密码,一般设置个只读账号即可
    • AuthLDAPURL:[协议名称]://[ip地址或者域名]:[端口号]/[baseDN]?[attr]?[scope]?[filter]
      • baseDN:指定开始搜索的节点的名称
      • attr:就是用户输入的属性键,默认是“uid”
      • scope: one,sub,base,默认是sub
      • filter:过滤器,默认是objectclass=*

LDAP服务器认证过程

可能只看配置文件不能了解LDAP认证的原理,接下来我们详细讨论下LDAP是如何认证的

客户端(httpd)使用提供的URL(AuthLDAPURL)进行验证的时候,并不是直接验证输入的账号密码,因为LDAP服务器在验证的时候要使用DN(每个节点用户的唯一标识)和密码来进行登陆验证的,但是DN一般来说比较长,诸如:“cn=xxx,ou=xxx,ou=xxx,dc=xxx,dc=xxx”,这种光输入的时候就烦气了,所以要想使用简短的用户名来登陆的时候,一般的做法是在某个节点用户上添加一个属性,比如mobile(手机号),Email(邮箱),user name或者uid(用户名),然后使用这个属性的值来登陆(大部分情况下都用uid,我们也是这么使用的)。

当用户输入这个属性值(一般uid)和密码的时候,客户端(httpd服务器)先使用AuthLDAPBindDN和AuthLDAPBindPassword作为用户名和密码登陆,根据AuthLDAPURL指定的查询规则来查找用户输入的属性的值有没有,如果查找的条数为0或者大于1,则返回错误,如果查找的条数等于1,则使用查找到的这个条目的DN和用户输入的密码进行登陆验证,成功则成功,失败则失败。

总结一下LDAP的认证过程分为两部:

  1. 搜索用户是否存在LDAP服务器中:配置文件中配置的AuthLDAPBindDN和AuthLDAPBindPassword两个属性主要目的就是为了登陆LDAP服务器搜索属性(uid)是否只有一条,如果服务器允许匿名访问则这两个配置可以不需要,但一般为了安全性都会关闭LDAP的匿名访问,新建一个只读权限的账号配置到这里即可
  2. 使用用户输入的属性值(uid)和密码进行登陆验证

参考文档

扫码关注公众号查看更多实用文章

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【JavaWeb】JSP基本语法、指令、九大内置对象、四大作用域
本期主要介绍JSP基本语法、指令、九大内置对象、四大作用域
16 0
SAP CRM Location Assignment的实现原理
SAP CRM Location Assignment的实现原理
46 0
Swarm实战Docker容器集群,基于Linux环境部署Web集群例子
Docker容器进行大规模集群部署实战,如何来做呢?肯定不能手动一个机器一个机器控制了,必须找到更高效等方式。 Docker官方提供了容器编排和集群管理工具Swarm。来解决大规模集群快速部署和监控等问题。
2144 0
LDAP落地实战(四):Jenkins集成OpenLDAP认证
前几篇分文章分别介绍了OpenLDAP的部署管理和维护以及svn、git的接入,今天我们再下一城接入jenkins。 LDAP系列文章: LDAP:OpenLDAP部署及管理维护 LDAP落地实战:subversion集成OpenLDAP认证 LDAP落地实战:gitlab集成OpenLDAP认证 jenkins集成OpenLDAP认证 1.
3320 0
基于ASP.NET WebAPI OWIN实现Self-Host项目实战
引用 寄宿ASP.NET Web API 不一定需要IIS 的支持,我们可以采用Self Host 的方式使用任意类型的应用程序(控制台、Windows Forms 应用、WPF 应用甚至是Windows Service)作为宿主。
1331 0
浏览器九宫格的简单实现 - 蒋宇捷的专栏 - 博客频道 - CSDN.NET
CSS3 来源:http://blog.csdn.net/hfahe/article/details/6125890#1536434-hi-1-22083-42d97150898b1af15ddaae52f91f09c2
641 0
Asp.Net知识锦分享,徐汇区网站设计
导读:作者Alexis对Web方面颇多兴趣,业余时间自学Silverlight、WPF、HTML5,时而做些小东西聊以自足。他总结了一篇.NET的文章《Asp.Net知识锦分享》,以下是文章内容: 今天是春节的最后一篇博客了,在这里给大家拜个早年!祝大家新年新气象,事业红红火火,兔年大吉,给力给力再给力! 我是09年10月的时候开博客的,当时的我还是一个啥都不懂得楞青头,虽然现在也好不到哪里去。
993 0
+关注
37丫37
devops,公众号【运维咖啡吧】作者
10
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载