歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> Linux服務器

Linux下LDAP統一用戶驗證總結

我通過iredmail的ldap整合過的應用有:sugarcrm,ejabberd,purefptd,openvpn,Awstats 。這些應用,應該可以很好的說明ldap的整合的各種方式。

  需要說明的是:ldap上保持著用戶的帳號和密碼。

  OU和filter

  一般人,都是希望把需要驗證的用戶放到一個ou上,讓應用去找這個ou下的用戶進行驗證,不過這樣做,一個缺點就是,當一個用戶需要啟用ftp服務,但是不用samba的服務,怎麼辦?

  所以對用戶進行分類,不建議采用ou這種方式。而是采用類似tag這種方式,通過filter進行過濾。比如這個用戶希望啟用samba服務,那麼我就在這個用戶的屬性上添加一項samba,通過設置過濾器,就可以把所有需要使用samba服務的用戶找出來,而不需要把這些用戶放到一個ou裡。

  下面的驗證,你都可以通過設置filter的方式,靈活驗證。

  1:有schema

  如果你希望應用的所有設置,都可以在ldap上進行控制,那麼就需要這個應用提供schema,pureftp,就是一個很好的例子。用戶的下載速度,上傳速度這些設置,都是保存在ldap上,而不是軟件的配置文件或者數據庫裡。

  這種整合,應該是比較理想的,真正實現集中管理。

  2:沒有schema,支持ldap驗證

  應用本身提供ldap驗證,也就是通過ldap去查詢用戶名和密碼。不過用戶在這個應用的具體權限,就需要在軟件裡進行設置。

  一般來說,你需要設置一個默認的權限給用戶,等用戶登錄後,你才可以給用戶設置具體的權限。

  sugarcrm,就是一個例子,他是支持ldap驗證,不過僅僅是支持驗證。如果你設置sugar采用ldap驗證,你會發現,系統裡是沒有用戶,必須這個用戶登錄後,你才能在用戶管理,設置他的權限。

  其實作為軟件本身,如果可以做到,自己主動去ldap查詢符合條件的用戶,導入到系統,那就更好。還有ldap裡的一些基本信息,如果也可以導入,那就更好。如sugar,可以把用戶的郵箱導入。

  不過這點,很少軟件可以做到。ejabberd,倒是會自動查詢ldap裡的用戶。

  3:pam驗證,不支持ldap

  應用本身不支持ldap驗證,支持pam驗證,那麼你可以通過pam實現ldap。這種方式是可行,聽起來也挺好,不過也就增加ldap驗證配置的復雜程度。

  web應用,支持ldap驗證,其實很簡單就可以實現。僅僅是

  openvpn,就是一個例子,事實上,你想實現openvpn采用ldap驗證,有兩種辦法,

  一種是直接通過ldap進行驗證

  另外一種就是通過pam,再找ldap驗證。

  4:apache驗證

  這種驗證方式,也就是讓apache,通過ldap來驗證用戶,倒是簡單,iredmail本身的Awstats ,就是通過這種方式實現統一驗證

Copyright © Linux教程網 All Rights Reserved