群晖搭建LDAP服务器实现一个账号登录DSM、Gitea、jellyfin
前言LDAP(轻量级目次访问协议)是一种用于访问和管理分布式目次服务的协议,它具有以下好处:
会合管理用户身份认证和授权:LDAP提供了一种方法,使构造可以或许会合管理用户的身份认证和授权。通过将用户信息存储在一个中心化的目次服务中,管理员可以更轻松地管理用户账户、密码计谋和权限。
也就是说通过ldap 可以实现一个账号、密码可以登陆多个系统大概应用程序,只要他们支持LDAP。
研究几天后发现,使用群晖的LDAP还可以或许控制用户的登录权限,例如,只让用户登录DSM和Gitea,不能登录jellyfin,而且实现非常简单,这也是为什么选择群晖的套件,而不使用OPENLDAP的缘故原由,其他的也能实现,重要是群晖的安装、使用来简单
安装LDAP Server
首先在群晖的套件中心找到LDAP Server,安装并打开,然后只需设置FQDN和密码即可。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC82NjJlMmM1ODZmOTA0ZDVmOTE1YmZjNGI3Y2IxMTNlNy5wbmcjcGljX2NlbnRlcg==
FQDN可随意设置,例如 abc.com
请记着 Base DN 和 BindDN、另有设置的密码,后面必要这些参数。
新建群组
然后找到管理群组,新增两个群组,gitea和jellyfin群组,后续必要使用。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9hMmNlYzU1MDFiY2I0ODA2ODQ3NmM3YmQ4NDhiNzQ4My5wbmcjcGljX2NlbnRlcg==
新增用户
点击管理用户,新增一个用户,请本身根据现实环境填写
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9kMDNjMGFlMmRmMGM0ZDgwODliYTlmYzJlZTRjNzQyMC5wbmcjcGljX2NlbnRlcg==
参加群组,选择gitea和jellyfin,这是控制这两个登录的权限,取消掉以后就不能使用该账号登录对应的应用。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9jZTM2N2NlZGJiMzg0MDM1ODAwNzhlNTc4Y2NmMmFiYS5wbmcjcGljX2NlbnRlcg==
其他参数根据现实环境填写。
DSM参加LDAP
在控制面版找到域/LDAP
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC83NzA0MTU4OGVlMmY0ZmMwYWIwYzY0ZGVjMDRjY2ZjOC5wbmcjcGljX2NlbnRlcg==
点击参加按钮,留意,IP为你群晖服务器的IP,DNS可以填路由器的地点,大概119大概114都可以。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC81Y2JhN2YyZTI2ODY0YWFhYTU1ZjkyYTZjMTA5ODRmZi5wbmcjcGljX2NlbnRlcg==
BindDN、Base DN 、密码,填上述LDAP Server 的设置参数。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC8yYjIxMjQ1ZDBkOTc0YmI3YTk3MmZiZTc0Y2YyODQ1OS5wbmcjcGljX2NlbnRlcg==
参加成功后的状态。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC85N2QxZmVjN2QzZGM0NjIxOWM3OTQ1NDk1N2JlZDkxMC5wbmcjcGljX2NlbnRlcg==
DSM使用LDAP登录
在控制面版,找到域/LDAP,然后选择LDAP用户,点击更新LDAP数据,可以看到多了一个test用户。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9iZWEwZWM4MTgxZDE0ODdlYTc0MDk1YzEzNTg0OTEwZS5wbmcjcGljX2NlbnRlcg==
点击家目次,启动LDAP用户家目次服务
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC8xZjU4ZTAwYTA4Njg0YWM4YWU1MzQyNzdjODhjOGVlNC5wbmcjcGljX2NlbnRlcg==
选中用户,邮件编辑,剩下的权限设置就和DMS账号一样,根据现实环境自行设置。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC8yNTBkNDUwZWFlOTA0YjE5OGFiZmM2OTJhYjViODgyOC5wbmcjcGljX2NlbnRlcg==
然后使用该账号登录即可。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC8zYjIwYWUwMTE5Yzc0YTRhOGRjYmNjYzUyOWM1YzhjZC5wbmcjcGljX2NlbnRlcg==
登录成功!
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9iZDNmMTg4ODIyM2Q0M2Y0ODYxMTFlODMxYmY3YjE1Yi5wbmcjcGljX2NlbnRlcg==
Gitea配置
使用管理员账号登录Gitea,找到背景管理,身份及认证---->认证源---->添加认证源
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9iNmZmNTA2YjBlMGE0M2JmYTQ1OWY2ODJiY2FiMTVjMC5wbmcjcGljX2NlbnRlcg==
配置可参考gitea的设置
参数说明主机群晖IP地点端口389绑定DN群晖LDAP Server 的 BindDN绑定密码LDAP Server设置的密码用户搜索基准群晖LDAP Server 的 BaseDN 用户过滤规则
(&(objectClass=posixAccount)(|(uid=%s)(mail=%s))(memberOf=cn=gitea,cn=groups,dc=abc,dc=com))
请留意,此中cn=gitea的giea为ldap 服务器设置的群组名称。后面的,dc=xxx,dc=xxx为BaseDN,这两个肯定要根据现实环境举行修改,这也是设置登录权限的关键。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9kOTYxMjY0N2U3OWU0NjdlYmZhMDJmY2E3ZWZjZWQ2Yi5wbmcjcGljX2NlbnRlcg==
后面的参数照填即可。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9kMDkxN2MxMjFhZjI0MWExOTYxZmJlZDdmYzBjOTZlMi5wbmcjcGljX2NlbnRlcg==
登录
第一次登录会提示用户名或密码不正确,不要慌,再点击一次登录即可。估计是第一次没同步。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9kYWJmOWQ4NTU3MmY0NTZiYjQ0YTUyNTZmMzFmYjBmNi5wbmcjcGljX2NlbnRlcg==
第二次登录成功
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC83NTIyNzNmNjI3MmY0Mjg0YTA5ZDExZTkyY2NmNjIzMy5wbmcjcGljX2NlbnRlcg==
可以看到用户认证源为ldap
!https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9jNjc3MWRiN2YwY2M0NDIzOWE0MTY4NDhlOTU0MDg1My5wbmcjcGljX2NlbnRlcg==
取消其登录权限
找到LDAP Server ,选择用户,右键编辑,用户群组,将gitea取消掉,然后再次测试,发现会一直提示用户名或密码不正确。
!https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC82ZjA2MzYyNDcxZTY0OWVlYWNkZmRiOTRhYjY2Y2MzNS5wbmcjcGljX2NlbnRlcg==
Jellyfin配置
首先在插件中心安装LDAP-Auth这个插件
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC8xOTgzYzkxMzQyODQ0YzM3ODE1MmUzOTg3NjgyZTJiMC5wbmcjcGljX2NlbnRlcg==
参数说明LDAP Server群晖IP地点LDAP Port:389LDAP Bind User群晖LDAP Server 的 BindDNLDAP Bind User PasswordLDAP Server设置的密码LDAP Base DN for searches群晖LDAP Server 的 BaseDN https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9kNzQxMmVkNjQ4ZmM0ZGIzOTMxNzFlMzBlYTgxNTQ4OS5wbmcjcGljX2NlbnRlcg==
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC9kNmVjMTJkZGU4MGY0MjMwYTllNmQ1ZmM1MmQ5NjljMC5wbmcjcGljX2NlbnRlcg==
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC80YWI4ODYyZWQ4ZTU0OTFjYmFjMTEwZGYyZDFmNzkwMy5wbmcjcGljX2NlbnRlcg==
LDAP Search Filter,这个和gitea不一样,但是也很类似,
此中cn=jellyfin的jellyfin为ldap 服务器设置的群组名称。后面的,dc=xxx,dc=xxx为BaseDN,这两个肯定要根据现实环境举行修改,这也是设置登录权限的关键。
(&(memberOf=cn=jellyfin,cn=groups,dc=abc,dc=com)(objectClass=inetOrgPerson))
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC85YjVhNTU0ZTlhMTg0OGJlOTkzZjI0M2FhMjNkMTk5ZS5wbmcjcGljX2NlbnRlcg==
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC83YWE5NmRlNGE3NGE0ZjljYjZkOTRjZmNkN2FlMWZmZC5wbmcjcGljX2NlbnRlcg==
登录
输入账号密码,一次性登陆成功。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC8yZmFhNzVlZTFlYWM0OTJiYmY5MWE1ZTQyOWMzNTFiZC5wbmcjcGljX2NlbnRlcg==
可以看见账号认证为LDAP
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC82ZDdjZWI4ZTc1NDM0MjgyYTZmY2FkZjEyZDhkODllNy5wbmcjcGljX2NlbnRlcg==
取消其登录权限见gitea取消其登录权限。
总结
现在使用一段时间根本没有啥题目。但是有已下几个缺陷:
1.无法在gitea和jellyfin更改密码,但是可以登录dsm自助修改密码。
2.此中的封禁登录功能对gitea和jellyfin无效,封禁之后仍可继续登录,但是对dsm有效。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2RpcmVjdC85OTYwMDdkYjdkYzE0ZmY4YjI5ZjczOTU4OTgwYTNkZi5wbmcjcGljX2NlbnRlcg==
3.只有在LDAP添加的用户才气实现以上功能。
4.LDAP认证服务器一旦挂掉,全部的应用也就无法登录。
5.LDAP服务器里的用户删掉后,其它平台的用户依旧存在,必要手动删除用户以及配置。
6.LDAP认证服务器一旦挂掉,全部的应用也就无法登录。
7.LDAP服务器里的用户删掉后,其它平台的用户依旧存在,必要手动删除用户以及配置。
本来也就是家用,所以以上题目看起来也不是什么题目,剩下的只能继续慢慢研究。
大家有没有其他支持LDAP认证的平台软件保举。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]