ldap统一认证配置(ldap认证失败怎么办)

什么是统一身份认证？

一、账户的统一管理，包括用户名、密码、组织结构、group。

我们除了账户管理外，更多的需要考虑系统权限的管理。

应用自身的权限管理，一般是基于角色（权限组）的控制粒度，不同的应用会有不同的权限管理办法。

group，分为实际组和虚拟组。

实际组，是以部门为单位的实际物理组织。

虚拟组，是以管理便利为导向，比如项目、核心骨干层。

接下来都是以LDAP来实现统一身份认证。

二、LDAP的树形结构如下：

dc=domain,dc=com

cn=admin

ou=group

--ou=confluence

----cn=cf-android-group

----cn=cf-java-group

--ou=gitlab

--ou=jenkins

--ou=sonar

--ou=zentao

--ou=gerrit

--ou=kanboard

ou=people

--ou=android-platform

----cn=zhangsan

----cn=lisi

--ou=java-platform

三、具体步骤

1、新建组织机构，对应上述的android-platform和java-platform

2、在组织机构下，创建人员，并设置密码。

例如上述的zhangsan和lisi

3、创建组，根据不同的应用的权限管理，粗细粒度不一。

例如上述的cf-android-group，cf-java-group

4、给组增加人员。

例如把zhangsan赋值给cf-java-group，lisi赋值给cf-android-group。

一般一个人员会被赋值给多个组。也就是说，一个人在多个应用中都有对应的权限。

四、LDAP的客户端工具

LDAP account manager

Apache Directory Studio

PhpLdapAdmin

metersphere集成LDAP实现统一身份认证

勾选“启用LDAP认证”，由于我配置的用户名就是uid，使用手机号登录。

配置保存后，测试连接，并且测试登录。

比较简单，主要就对LDAP集成完毕。

ldap的用户属性和Metersphere本地用户的属性对应关系：

{"name": "description","email": "mail", "username":"uid"}

Deepin系统基于LDAP统一认证

本人近期参与团队做Deepin相关的项目时，需要如同微软AD一样对各终端进行统一认证管理，则本想着通过搜索网上相关资料和官方相关文档一步一步操作很快搞定，却发现网络上Deepin的这块指导文档几乎没有。通过本人对Linux系统的理解摸索和查看Deepin dde-session-ui源码资源，经反复的测验，最终走通了整个流程。为表示支持一下国产开源系统DeepinOS，决定整理分享一下相关指南以方便大家更快的使用DeepinOS深度性的功能，并集成应用到工作环境中去。

注：文档不会对LDAP Server部署与配置操作进行说明，请查找网上相关资源，这方面比较多。另外本人应用的Deepin系统环境为V20社区版本。

默认此处安装时有Console UI可以配置LDAP client，可以忽略或按流程进行连接LDAP Server端设置，如果选择忽略则进行下面第二步操作。

这两个为主要的LDAP客户端认证配置文件，如果在第一步通过UI界面配置了应该会自动生成相关的配置，则不需要手动修改配置。

可以参看一下本人环境配置实例，注意"X"需要根据自己实际的LDAP服务器信息选择协议与地址等配置(这方面配置可参照debian ldap客户端安装指南)。

/etc/pam.d/common-auth

/etc/pam.d/common-account

/etc/pam.d/common-password

/etc/pam.d/common-session-noninteractive

可参考一下本人环境的相关配置

配置文件位置

/usr/share/dde-session-ui/dde-session-ui.conf

1）首先检验保障LDAP SERVER正常性（这块有ldapsearch工具等）

2）开启Deepin系统SSH服务，先通过SSH来验证LDAP用户与认证是否正常

3）tail -f /var/log/auth.log 测试时实时查看日志信息，如果出错可以日志反馈信息排查问题点（本人遇到几次LDAP服务器连接问题，日志上可以明显提示出来并可查看是哪个进程报错，如是libnss还是pam_ldap相关的信息等）

希望本文对各位有帮助，同时望有更多的技术爱好者用行动去支持国产化系统的发展。

nginx+ldap实现统一身份认证

让配置生效

在加上ldap认证后，再次访问

输入正确LDAP中的用户的用户名和密码，才能正确访问；否则提示未授权：

LDAP在校园网中如何应用

鄙人愚笨,不知道如何在Windows2000中配置RADIUS服务器

找到一篇关于在Linux上搭建RADIUS服务器的文章

请笑纳:

Linux上构建一个RADIUS服务器详解

为一名网络管理员，您需要为您所需管理的每个网络设备存放用于管理的用户信息。但是网络设备通常只支持有限的用户管理功能。学习如何使用Linux上的一个外部RADIUS服务器来验证用户，具体来说是通过一个LDAP服务器进行验证，可以集中放置存储在LDAP服务器上并且由RADIUS服务器进行验证的用户信息，从而既可以减少用户管理上的管理开销，又可以使远程登录过程更加安全。

数据安全作为现代系统中网络安全的一部分，与系统安全一样的重要，所以保护数据--确保提供机密性、完整性和可用性--对管理员来说至关重要。

在本文中，我将谈到数据安全性的机密性方面：确保受保护的数据只能被授权用户或系统访问。您将学习如何在Linux系统上建立和配置一个Remote Authentication Dial-In User Service 服务器（RADIUS），以执行对用户的验证、授权和记帐（AAA）。

各组成元素介绍