群晖搭建LDAP服务器实现一个账号登录DSM、Gitea、jellyfin ...

前言

LDAP（轻量级目次访问协议）是一种用于访问和管理分布式目次服务的协议，它具有以下好处：
会合管理用户身份认证和授权：LDAP提供了一种方法，使构造可以或许会合管理用户的身份认证和授权。通过将用户信息存储在一个中心化的目次服务中，管理员可以更轻松地管理用户账户、密码计谋和权限。
也就是说通过ldap 可以实现一个账号、密码可以登陆多个系统大概应用程序，只要他们支持LDAP。
研究几天后发现，使用群晖的LDAP还可以或许控制用户的登录权限，例如，只让用户登录DSM和Gitea，不能登录jellyfin，而且实现非常简单，这也是为什么选择群晖的套件，而不使用OPENLDAP的缘故原由，其他的也能实现，重要是群晖的安装、使用来简单
安装LDAP Server

首先在群晖的套件中心找到LDAP Server，安装并打开，然后只需设置FQDN和密码即可。

FQDN可随意设置，例如 abc.com
请记着 Base DN 和 BindDN、另有设置的密码，后面必要这些参数。
新建群组

然后找到管理群组，新增两个群组，gitea和jellyfin群组，后续必要使用。

新增用户

点击管理用户，新增一个用户，请本身根据现实环境填写

参加群组，选择gitea和jellyfin，这是控制这两个登录的权限，取消掉以后就不能使用该账号登录对应的应用。

其他参数根据现实环境填写。
DSM参加LDAP

在控制面版找到域/LDAP

点击参加按钮，留意，IP为你群晖服务器的IP，DNS可以填路由器的地点，大概119大概114都可以。

BindDN、Base DN 、密码，填上述LDAP Server 的设置参数。

参加成功后的状态。

DSM使用LDAP登录

在控制面版，找到域/LDAP，然后选择LDAP用户，点击更新LDAP数据，可以看到多了一个test用户。

点击家目次，启动LDAP用户家目次服务

选中用户，邮件编辑，剩下的权限设置就和DMS账号一样，根据现实环境自行设置。

然后使用该账号登录即可。

登录成功！

Gitea配置

使用管理员账号登录Gitea，找到背景管理，身份及认证---->认证源---->添加认证源

配置可参考gitea的设置
参数说明主机群晖IP地点端口389绑定DN群晖LDAP Server 的 BindDN绑定密码LDAP Server设置的密码用户搜索基准群晖LDAP Server 的 BaseDN 用户过滤规则

1. (&(objectClass=posixAccount)(|(uid=%[1]s)(mail=%[1]s))(memberOf=cn=gitea,cn=groups,dc=abc,dc=com))

复制代码

请留意，此中cn=gitea的giea为ldap 服务器设置的群组名称。后面的，dc=xxx，dc=xxx为BaseDN，这两个肯定要根据现实环境举行修改，这也是设置登录权限的关键。

后面的参数照填即可。

登录

第一次登录会提示用户名或密码不正确，不要慌，再点击一次登录即可。估计是第一次没同步。

第二次登录成功

可以看到用户认证源为ldap
!

取消其登录权限

找到LDAP Server ，选择用户，右键编辑，用户群组，将gitea取消掉，然后再次测试，发现会一直提示用户名或密码不正确。
!

Jellyfin配置

首先在插件中心安装LDAP-Auth这个插件

参数说明LDAP Server群晖IP地点LDAP Port:389LDAP Bind User群晖LDAP Server 的 BindDNLDAP Bind User PasswordLDAP Server设置的密码LDAP Base DN for searches群晖LDAP Server 的 BaseDN

LDAP Search Filter，这个和gitea不一样，但是也很类似，
此中cn=jellyfin的jellyfin为ldap 服务器设置的群组名称。后面的，dc=xxx，dc=xxx为BaseDN，这两个肯定要根据现实环境举行修改，这也是设置登录权限的关键。

1. (&(memberOf=cn=jellyfin,cn=groups,dc=abc,dc=com)(objectClass=inetOrgPerson))

复制代码

登录

输入账号密码，一次性登陆成功。

可以看见账号认证为LDAP

取消其登录权限见gitea取消其登录权限。
总结

现在使用一段时间根本没有啥题目。但是有已下几个缺陷：
1.无法在gitea和jellyfin更改密码，但是可以登录dsm自助修改密码。
2.此中的封禁登录功能对gitea和jellyfin无效，封禁之后仍可继续登录，但是对dsm有效。

3.只有在LDAP添加的用户才气实现以上功能。
4.LDAP认证服务器一旦挂掉，全部的应用也就无法登录。
5.LDAP服务器里的用户删掉后，其它平台的用户依旧存在，必要手动删除用户以及配置。
6.LDAP认证服务器一旦挂掉，全部的应用也就无法登录。
7.LDAP服务器里的用户删掉后，其它平台的用户依旧存在，必要手动删除用户以及配置。
本来也就是家用，所以以上题目看起来也不是什么题目，剩下的只能继续慢慢研究。
大家有没有其他支持LDAP认证的平台软件保举。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。