Linux下基于LDAP统一用户验证总结

　　今天在51cto看到这篇文章：Linux下基于LDAP统一用户认证的研究 ,结合我的体验.总结一下.

　　我通过iredmail的ldap整合过的应用有：sugarcrm,ejabberd,purefptd,openvpn,Awstats .这些应用,应该可以很好的说明ldap的整合的各种方式.

　　需要说明的是：ldap上保持着用户的帐号和密码.

　　OU和filter

　　一般人,都是希望把需要验证的用户放到一个ou上,让应用去找这个ou下的用户进行验证,不过这样做,一个缺点就是,当一个用户需要启用ftp服务,但是不用samba的服务,怎么办？

　　对用户进行分类,不建议采用ou这种方式.而是采用类似tag这种方式,通过filter进行过滤.比如这个用户希望启用samba服务,那么我就在这个用户的属性上添加一项samba,通过设置过滤器,就可以把所有需要使用samba服务的用户找出来,而不需要把这些用户放到一个ou里.

　　下面的验证,你都可以通过设置filter的方式,灵活验证.

　　1：有schema

　　如果你希望应用的所有设置,都可以在ldap上进行控制,那么就需要这个应用提供schema,pureftp,就是一个很好的例子.用户的下载速度,上传速度这些设置,都是保存在ldap上,而不是软件的配置文件或者数据库里.

　　这种整合,应该是比较理想的,真正实现集中管理.

　　2：没有schema,支持ldap验证

　　应用本身提供ldap验证,也就是通过ldap去查询用户名和密码.不过用户在这个应用的具体权限,就需要在软件里进行设置.

　　一般来说,你需要设置一个默认的权限给用户,等用户登录后,你才可以给用户设置具体的权限.

　　sugarcrm,就是一个例子,他是支持ldap验证,不过仅仅是支持验证.如果你设置sugar采用ldap验证,你会发现,系统里是没有用户,这个用户登录后,你才能在用户管理,设置他的权限.

　　其实作为软件本身,如果可以做到,自己主动去ldap查询符合条件的用户,导入到系统,那就更好.还有ldap里的一些基本信息,如果也可以导入,那就更好.如sugar,可以把用户的邮箱导入.

　　不过这点,很少软件可以做到.ejabberd,倒是会自动查询ldap里的用户. 拥有帝国一切，皆有可能。欢迎访问phome.net

　　3：pam验证,不支持ldap

　　应用本身不支持ldap验证,支持pam验证,那么你可以通过pam实现ldap.这种方式是可行,听起来也挺好,不过也就增加ldap验证配置的复杂程度.

　　web应用,支持ldap验证,其实很简单就可以实现.仅仅是

　　openvpn,就是一个例子,事实上,你想实现openvpn采用ldap验证,有两种办法,

　　一种是直接通过ldap进行验证

　　另外一种就是通过pam,再找ldap验证.

　　4：apache验证

　　这种验证方式,也就是让apache,通过ldap来验证用户,倒是简单,iredmail本身的Awstats ,就是通过这种方式实现统一验证.

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!