文章编号：16305 / 分类：互联网资讯 / 更新时间：2024-04-18 20:07:41 / 浏览：次

引言

LDAP（轻量级目录访问协议）是一种广泛用于存储和管理用户身份信息和凭据的协议。在身份验证过程中，LDAP 认证上下文扮演着至关重要的角色，它为 LDAP 目录服务提供上下文信息，以便成功执行验证请求。

LDAP 认证上下文

LDAP 认证上下文是一个数据结构，包含以下信息：Principal： 要验证的身份，通常是用户或服务Credentials： Principal 提供的用于验证的身份证明，例如密码或令牌认证类型： 用于验证身份的认证机制，例如简单认证和安全套接字层 (SSL) 认证验证结果： 验证请求的结果，例如成功或失败

认证过程

LDAP 认证过程涉及以下步骤：1. 请求： 客户端向 LDAP 服务器发送认证请求，其中包含认证上下文。2. 验证： LDAP 服务器从目录中检索 Principal 的信息，并使用提供的凭据验证 identity。3. 响应： LDAP 服务器向客户端发送验证结果，指出是否成功。4. 授权： 如果身份验证成功，LDAP 服务器可能会根据 Principal 的组成员资格或其他属性向客户端授予访问权限。

认证上下文的重要性

认证上下文对于 LDAP 认证至关重要，因为它提供了执行验证所需的必要信息。如果没有认证上下文，LDAP 服务器将无法确定要验证的身份以及如何验证。认证上下文还允许 LDAP 服务器定制认证过程。例如，它可以指定要使用的特定认证机制，要求多因素身份验证，或设置认证超时。

认证类型

LDAP 支持各种认证类型，包括：简单认证： 使用明文密码验证摘要认证： 使用摘要函数验证，提供额外的安全性安全套接

---

LDAP是什么意思？

LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写，是在X.500标准基础上产生的一个简化版本。

LDAP是什么?

我要着重指出，LDAP是一个数据库，但是又不是一个数据库。 说他是数据库，因为他是一个数据存储的东西。 但是说他不是数据库，是因为他的作用没有数据库这么强大，而是一个目录。 为了理解，给一个例子就是电话簿（黄页）。 我们用电话簿的目的是为了查找某个公司的电话，在这个电话簿中附带了一些这个公司的基本信息，比如地址，经营范围，联系方式等。 其实这个例子就是一个LDAP在现实生活中的表现。 电话簿的组织结构是一条一条的信息组成，信息按照行业，类比进行了分类。 每条记录都分成了若干的区域，其中涵盖了我们要的信息。 这就是一个Directory。 一个树状的结构，每个叶子都是由一条一条的分成若干区域的记录。 LDAP就是这么一个东西。 从概念上说，LDAP分成了DN, OU等。 OU就是一个树，DN就可以理解为是叶子，叶子还可以有更小的叶子。 但是LDAP最大的分层按照IBM的文档是4层。 还是上面这个例子，电话簿由电话公司进行维护，因此写是由他们去写，去组织。 写完了，组织好了，就完成了，以后再写，再组织的次数是有限的。 而其作用是为了查找。 LDAP也是类似，目的不是为了写，主要是为了查找。 这就回答了有同志问，有人要写有人要读的并发怎么解决的问题。 LDAP的用途不是针对这个来设计的，如果你有这样的需求，解决办法就应该是数据库，而不是LDAP。 这就是另外一个例子，Access和SQL Server。 Access就是一个数据库产品，但是主要用于家庭，功能和性能都比较弱。 SQL Server就是一个专业的数据库系统，功能强大。 LDAP是一个轻量级的产品，主要目的是为了查，因此在架构和优化主要是针对读，而不是写。 但并不是说LDAP不能满足，只是说强项不在这里。 LDAP作为一个统一认证的解决方案，主要的优点就在能够快速响应用户的查找需求。 比如用户的认证，这可能会有大量的并发。 如果用数据库来实现，由于数据库结构分成了各个表，要满足认证这个非常简单的需求，每次都需要去搜索数据库，合成过滤，效率慢也没有好处。 虽然可以有Cache，但是还是有点浪费。 LDAP就是一张表，只需要用户名和口令，加上一些其他的东西，非常简单。 从效率和结构上都可以满足认证的需求。 这就是为什么LDAP成为现在很人们的统一认证的解决方案的优势所在。 当然LDAP也有数据写入的借口，是可以满足录入的要求的。 这里就不多说了。 我认为现在最大的LDAP Server，应该还是Microsoft的AD。 虽然不一定是标准的，但是的确是用的最多的一个LDAP Server。 每个公司只要用到域，就肯定会用到了。

认证系统，如活动目录AD、LDAP、Radius这些，究竟是做什么用的。谢谢你。

AD、LDAP提供目录服务，即类似于企业、人员黄页的东西，用户和组织的信息都被存放在上面，查找起来十分快捷，也可以理解成一种特殊的数据库。 RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。 RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。 RADIUS也支持厂商扩充厂家专有属性。 用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

什么是统一身份认证？

一、账户的统一管理，包括用户名、密码、组织结构、group。 我们除了账户管理外，更多的需要考虑系统权限的管理。 应用自身的权限管理，一般是基于角色（权限组）的控制粒度，不同的应用会有不同的权限管理办法。 group，分为实际组和虚拟组。 实际组，是以部门为单位的实际物理组织。 虚拟组，是以管理便利为导向，比如项目、核心骨干层。 接下来都是以LDAP来实现统一身份认证。 二、LDAP的树形结构如下： dc=domain,dc=com cn=admin ou=group --ou=confluence ----cn=cf-android-group ----cn=cf-java-group --ou=gitlab --ou=jenkins --ou=sonar --ou=zentao --ou=gerrit --ou=kanboard ou=people --ou=android-platform ----cn=zhangsan ----cn=lisi --ou=java-platform 三、具体步骤 1、新建组织机构，对应上述的android-platform和java-platform 2、在组织机构下，创建人员，并设置密码。 例如上述的zhangsan和lisi 3、创建组，根据不同的应用的权限管理，粗细粒度不一。 例如上述的cf-android-group，cf-java-group 4、给组增加人员。 例如把zhangsan赋值给cf-java-group，lisi赋值给cf-android-group。 一般一个人员会被赋值给多个组。 也就是说，一个人在多个应用中都有对应的权限。 四、LDAP的客户端工具 LDAP account manager Apache Directory Studio PhpLdapAdmin

LDAP和AD域的介绍及使用

1 LDAP入门

1.1 定义

LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写，LDAP标准实际上是在X.500标准基础上产生的一个简化版本。

1.2 目录结构

LDAP也可以说成是一种数据库，也有client端和server端。server端是用来存放数据，client端用于操作增删改查等操作，通常说的LDAP是指运行这个数据库的服务器。只不过，LDAP数据库结构为树结构，数据存储在叶子节点上。

因此，在LDAP中，位置可以描述如下

因此，苹果redApple的位置为

dn标识一条记录，描述了数据的详细路径。因此，LDAP树形数据库如下

因此，LDAP树形结构在存储大量数据时，查询效率更高，实现迅速查找，可以应用于域验证等。

1.3 命名格式

LDAP协议中采用的命名格式常用的有如下两种：LDAP URL 和X.500。

任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP协议访问活动目录，LDAP名不像普通的Internet URL名字那么直观，但是LDAP名往往隐藏在应用系统的内部，最终用户很少直接使用LDAP 名。LDAP 名使用X.500 命名规 范，也称为属性化命名法，包括活动目录服务所在的服务器以及对象的属性信息。

2 AD入门

2.1 AD定义

AD是Active Directory的缩写，AD是LDAP的一个应用实例，而不应该是LDAP本身。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题，只是AD顺便还提供了用户接口，也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序操作LDAP，使得ActiveDirectory也成了一个LDAP服务器。

2.2 作用

2.2.1 用户服务

管理用户的域账号、用户信息、企业通信录（与电子邮箱系统集成）、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机，服务器等。

2.2.2 计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。

2.2.3 资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

2.2.4 应用系统的支持

对于电子邮件（Exchange）、在线及时通讯（Lync）、企业信息管理（SharePoint）、微软CRM&ERP等业务系统提供数据认证（身份认证、数据集成、组织规则等）。这里不单是微软产品的集成，其它的业务系统根据公用接口的方式一样可以嵌入进来。

2.2.5 客户端桌面管理

系统管理员可以集中的配置各种桌面配置策略，如：用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。

2.3 AD域结构常用对象

2.3.1 域(Domain)

域是AD的根，是AD的管理单位。域中包含着大量的域对象，如：组织单位(Organizational Unit)，组(Group)，用户(User)，计算机(Computer)，联系人(Contact),打印机，安全策略等。

可简单理解为：公司总部。

2.3.2 组织单位(Organization Unit)

组织单位简称为OU是一个容器对象，可以把域中的对象组织成逻辑组，帮助网络管理员简化管理组。组织单位可以包含下列类型的对象：用户，计算机，工作组，打印机，安全策略，其他组织单位等。可以在组织单位基础上部署组策略，统一管理组织单位中的域对象。

可以简单理解为：分公司。

2.3.3 群组(Group)

群组是一批具有相同管理任务的用户账户，计算机账户或者其他域对象的一个集合。例如公司的开发组，产品组，运维组等等。可以简单理解为分公司的某事业部。

群组类型分为两类:

2.3.4 用户(User)

AD中域用户是最小的管理单位，域用户最容易管理又最难管理，如果赋予域用户的权限过大，将带来安全隐患，如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。

域用户的类型，域中常见用户类型分为：

一个大致的AD如下所示：

总之：Active Directory =LDAP服务器 LDAP应用（Windows域控）。ActiveDirectory先实现一个LDAP服务器，然后自己先用这个LDAP服务器实现了自己的一个具体应用（域控）。

3 使用LDAP操作AD域

特别注意：Java操作查询域用户信息获取到的数据和域管理员在电脑上操作查询的数据可能会存在差异（同一个意思的表示字段，两者可能不同）。

连接ad域有两个地址：ldap://:389 和 ldap://:636（SSL）。

端口389用于一般的连接，例如登录，查询等非密码操作，端口636安全性较高，用户密码相关操作，例如修改密码等。

域控可能有多台服务器，之间数据同步不及时，可能会导致已经修改的数据被覆盖掉，这个要么域控缩短同步的时间差，要么同时修改每一台服务器的数据。

3.1 389登录

3.2 636登录验证（需要导入证书）

3.3 查询域用户信息

3.4 重置用户密码

3.5 域账号解锁

总结

LDAP/AD认证

检查测试ldap配置

如果从LDAP服务器中删除了用户，则该用户也会在GitLab中被阻止。用户将立即被阻止登录。但是，LDAP检查缓存时间为一小时（请参阅注释），这意味着已经登录或通过SSH使用Git的用户仍然可以访问GitLab最多一个小时。在GitLab管理区域中手动阻止用户以立即阻止所有访问。

在集成AD后，为了兼容前期Gitlab创建的用户账号，在创建AD用户账号时只需保证 sAMAccountName，email 属性与Gitlab用户的 Username、电子邮箱 的值一致即可（密码可以不同），使用这种方式创建的AD账户登录Gitlab时Gitlab不会创建新用户。

Nginx Proxy Manager 是一个基于MIT协议的开源项目，这个项目实现了通过web界面管理控制一些Nignx常用的功能，比如重定向、反向代理、404、甚至提供了免费的SSL，Nginx-proxy-ldap-manager在Nginx Proxy Manager的基础上添加了nginx-auth-ldap认证模块。

docker-compose

管理界面端口: 81 默认管理员密码：

使用AD认证时才配置Advanced，auth_ldap_servers值与文件中的ldap_server值对应

【1】 How to configure LDAP with GitLab CE 【2】 General LDAP Setup 【3】 nginx-auth-ldap 【4】 LDAP 认证 【5】 nginx-proxy-ldap-manager

ldap统一用户认证

LDAP（LightweightDirectoryAccessProtocol）是一种轻量级目录访问协议，它可以提供一种统一的用户认证机制，使得企业内部的不同应用系统可以共享同一套用户账号和密码，从而实现用户认证的统一管理。在本文中，我们将介绍如何使用LDAP来实现统一用户认证。

一、LDAP基本概念

1.1目录服务

LDAP是一种目录服务，它可以存储和管理各种类型的数据，比如用户账号、组织结构、网络资源等等。LDAP的数据结构是树形结构，类似于文件系统中的目录结构，每个节点都有一个唯一的DN（DistinguishedName）标识符。

1.2LDAP客户端

LDAP客户端是指使用LDAP协议与LDAP服务器进行通信的应用程序，它可以实现对LDAP服务器中数据的查询、添加、修改和删除等操作。

1.3LDAP服务器

LDAP服务器是指提供LDAP服务的软件系统，它可以存储和管理LDAP目录中的数据，并提供LDAP协议的接口供LDAP客户端进行访问。

二、LDAP统一用户认证的实现步骤

2.1安装配置LDAP服务器

首先需要安装和配置LDAP服务器，常用的LDAP服务器有OpenLDAP、ActiveDirectory等。这里以OpenLDAP为例进行说明。

2.1.1安装OpenLDAP

在Linux系统中，可以使用以下命令安装OpenLDAP：

yuminstallopenldapopenldap-serversopenldap-clients

2.1.2配置OpenLDAP

配置OpenLDAP需要编辑文件，该文件位于/etc/openldap目录下。可以使用以下命令打开该文件：

vi/etc/openldap/

在该文件中，需要配置以下内容：

（1）基本配置

include/etc/openldap/schema/

pidfile/var/run/openldap/

argsfile/var/run/openldap/

（2）数据库配置

databasebdb

suffixdc=example,dc=com

rootdncn=admin,dc=example,dc=com

rootpw{SSHA}xxxxxxxxxxxxxxxxxxxxxx

directory/var/lib/ldap

其中，database表示使用BDB数据库，suffix表示LDAP根节点的DN，rootdn表示管理员账号的DN，rootpw表示管理员账号的密码，directory表示存储LDAP数据的目录。

2.2添加LDAP用户

添加LDAP用户需要使用LDAP客户端，常用的LDAP客户端有ldapadd、ldapmodify等。这里以ldapadd为例进行说明。

2.2.1创建LDIF文件

LDIF（LDAPDataInterchangeFormat）是一种文本格式，用于描述LDAP目录中的数据。可以使用以下命令创建一个LDIF文件：

在该文件中，需要添加以下内容：

dn:cn=user1,ou=people,dc=example,dc=com

objectClass:top

objectClass:person

objectClass:organizationalPerson

objectClass:inetOrgPerson

givenName:user1

userPassword:{SSHA}xxxxxxxxxxxxxxxxxxxxxx

其中，dn表示该用户的DN，objectClass表示该用户的对象类别，cn表示该用户的用户名，sn表示该用户的姓氏，givenName表示该用户的名字，mail表示该用户的邮箱，userPassword表示该用户的密码。

2.2.2添加LDAP用户

使用以下命令将该用户添加到LDAP服务器中：

ldapadd-x-Dcn=admin,dc=example,dc=

其中，-x表示使用简单身份验证，-D表示管理员账号的DN，-w表示管理员账号的密码，-f表示要导入的LDIF文件。

2.3集成应用系统

集成应用系统需要在应用系统中配置LDAP认证，常用的应用系统有Web应用、邮件系统、文件共享系统等。这里以Web应用为例进行说明。

2.3.1配置Web应用

在Web应用中，可以使用LDAP认证插件来实现LDAP认证。常用的LDAP认证插件有mod_auth_ldap、LDAPAuth等。这里以mod_auth_ldap为例进行说明。

首先需要安装和配置mod_auth_ldap模块，可以使用以下命令安装：

yuminstallhttpdmod_auth_ldap

然后需要编辑文件，该文件位于/etc/httpd/conf目录下。可以使用以下命令打开该文件：

vi/etc/httpd/conf/

在该文件中，需要添加以下内容：

LoadModuleauth_ldap_modulemodules/mod_auth_

AuthNameLDAPAuthentication

AuthTypeBasic

AuthBasicProviderldap

AuthLDAPURLldap:///dc=example,dc=com

AuthLDAPBindDNcn=admin,dc=example,dc=com

AuthLDAPBindPasswordpassword

Requirevalid-user

其中，LoadModule表示加载mod_auth_ldap模块，Location表示需要进行LDAP认证的URL路径，AuthName表示认证提示信息，AuthType表示认证类型，AuthBasicProvider表示认证提供者，AuthLDAPURL表示LDAP服务器的URL，AuthLDAPBindDN表示管理员账号的DN，AuthLDAPBindPassword表示管理员账号的密码，Require表示需要进行认证的用户。

2.3.2测试LDAP认证

使用浏览器访问Web应用的URL路径，输入LDAP用户的用户名和密码，如果能够成功登录，则说明LDAP认证已经生效。

LDAP是什么?

LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。它是基于X.500标准的，但是简单得多并且可以根据需要定制。

LDAP由互联网工程任务组（IETF）的文档RFC定义，使用了描述语言ASN.1定义。最新的版本是版本3，由RFC 4511所定义。例如，一个用语言描述的LDAP的搜索如：“在公司邮件目录中搜索公司位于那什维尔名字中含有“Jessy”的有邮件地址的所有人。请返回他们的全名，电子邮件，头衔和简述。”

扩展资料：

LDAP-开发方式

如果需要开发一种提供公共信息查询的系统一般的设计方法可能是采用基于WEB的数据库设计方式，即前端使用浏览器而后端使用WEB服务器加上关系数据库。后端在Windows的典型实现可能是Windows NT + IIS + Acess数据库或者是SQL SERVER，IIS和数据库之间通过ASP技术使用ODBC进行连接，达到通过填写表单查询数据的功能；

Linux里面的AD认证是啥意思？？

AD（活动目录）是微软重要的认证和管理解决方案。 它提供了用户、计算机、打印机和应用程序数据的集中管理，也提供了对这些对象的认证。 AD是基于LDAP————轻量目录访问协议（the Lightweight Directory Access Protocol）。 LDAP存将对象储存在树形结构中，就像如今的文件系统一样。 在LDAP中，每个最终的节点（node）都是一个属性为组织单元（Organizational Unit）的容器节点（container node）里的对象。 使用PAM（the Pluggable Authentication Module），Linux能使用LDAP来验证用户。 AD也基于LDAP的，因此它也能正常工作。 将AD于Linux环境整合，即使你使用不同的操作系统，你也能轻而易举统一整个网络环境。

LDAP是什么意思？ 能不能解决这个问题：登录系统的账号密码即时给其他人，也没有办法登录上去？

LDAP本身只提供认证服务。 至于你用什么信息认证，那么是你的客户端说了算了。 换句话说，LDAP本身相当于一个数据库只存储了你的认证信息。 你的需求LDAP本身是不可实现的，但是它又是支持这种应用的，具体的控制实现细节需要更改你的认证程序。 你完全可以把个人笔记本的固有信息也存储于LDAP服务器中，要求认证时和用户名密码一起认证。

相关标签： 理解其在身份验证过程中的作用、 LDAP认证的认证上下文、 ldap认证是什么意思、

本文地址：http://www.hyyidc.com/article/16305.html

上一篇：使用公司邮箱的最佳实践提高生产力和安全性...
下一篇：网站不备案有什么后果...