背景

公司各种信息化系统越来越多，需要记住的用户账号也越来越多，人员入职离职就要分别在不同的各种系统上进行添加和删除比较繁锁，急需要一个可以统一认证的服务，于是就开始研究ldap，ldap中openldap是开源的方便使用，于是花了大概2个月时间才把标题上面的这几个服务全部调通，以下记录配置过程，用于保持记忆。

安装openldap

openldap软件有很多基于他的二次开发的软件，我这边就随便搜索了一个并使用容器部署，使用docker compose部署，yml文件如下：

version: '3'
networks:
  go-ldap-admin:
    driver: bridge
services:
  openldap:
    image: registry.cn-hangzhou.aliyuncs.com/ali_eryajf/openldap:1.4.0
    container_name: go-ldap-admin-openldap
    hostname: go-ldap-admin-openldap
    restart: always
    environment:
      TZ: Asia/Shanghai
      LDAP_ORGANISATION: "china-xxx.com"
      LDAP_DOMAIN: "china-xxx.com"
      LDAP_ADMIN_PASSWORD: "123456"
    command: [ '--copy-service' ]
    volumes:
      - ./data/openldap/database:/var/lib/ldap
      - ./data/openldap/config:/etc/ldap/slapd.d
      - ./config/init.ldif:/container/service/slapd/assets/config/bootstrap/ldif/custom/init.ldif
    ports:
      - 388:389
    networks:
      - go-ldap-admin
  phpldapadmin:
    image: registry.cn-hangzhou.aliyuncs.com/ali_eryajf/phpldapadmin:0.9.0
    container_name: go-ldap-admin-phpldapadmin
    hostname: go-ldap-admin-phpldapadmin
    restart: always
    environment:
      TZ: Asia/Shanghai # 设置容器时区与宿主机保持一致
      PHPLDAPADMIN_HTTPS: "false" # 是否使用https
      PHPLDAPADMIN_LDAP_HOSTS: go-ldap-admin-openldap # 指定LDAP容器名称
    ports:
      - 8091:80
    volumes:
      - ./data/phpadmin:/var/www/phpldapadmin
    depends_on:
      - openldap

其实这个yml文件完整的配置不止这些，他是个go-ldap-admin项目，里面包含了go语言版本的可视化控制台和php版本的（项目地址https://gitee.com/eryajf-world/go-ldap-admin,有兴趣的同学可以自己研究一下），go版本的功能主要是用于将ldap用户同步到mysql存储，由于修改项目默认的域名后没法正常使用，我就不使用他了，使用php版本的控制台。 yml配置文件配置好后启动openldap，启动后使用浏览器访问：

创建组和用户

如上截图，我已经创建过名称为Group的ou，底下有个develop的组，再创建名称为people的ou，底下有admin,apaas,chench三个用户，这三个用户都是属于上面develop组的成员：

配置jumpserver集成ldap认证

填写ldap服务器地址端口号，绑定DN（ldap管理员账号），用户ou（用户所在的组名称） 用户过滤器（搜索用户的关键字段），用户属性映射（jumpserver堡垒机的用户和ldap的用户映射关系） 点测试连接 点测试登陆 使用ldap用户登陆 成功登陆，原来旧的用户的信息也成功继承

gitlab集成ldap认证

配置gitlab.rb，因为我是docker compose安装，所以在yml文件添加相关环境变量就行

        gitlab_rails['ldap_servers'] = {
          'main' => {
            'label' => 'LDAP',
            'host' =>  '10.10.10.41',
            'port' => 388,
            'uid' => 'cn',
            'bind_dn' => 'cn=admin,dc=china-xxx,DC=com',
            'password' => '123456',
            'encryption' => 'plain',
            'verify_certificates' => false,
            'timeout' => 10,
            'active_directory' => false,
            'user_filter' => '',
            'base' => 'ou=people,dc=china-xxx,dc=com',
            'lowercase_usernames' => 'false',
            'retry_empty_result_with_codes' => [80],
            'allow_username_or_email_login' => false,
            'block_auto_created_users' => false
          }
        }

然后重启容器，如果你是直接在容器里面修改gitlab.rb配置文件则重新加载配置 gitlab-ctl reconfigure 重新启动应用 gitlab-ctl restart 验证是否可以登陆 在经过一段时间的启动后，浏览器界面终于出现ldap登陆的选项 已成功登陆，并且之前旧账号的相关配置还在

配置jenkins集成ldap认证

系统管理--全局安全配置--安全域--ldap 验证配置 使用ldap登陆jenkins 登陆了，但是没有权限，因为之前没有创建过这个用户，用了Role- Based Strategy策略，ldap里面新建一个跟jenkins内置账号同名的用户admin,再次登陆就有权限了

配置jira集成ldap认证

设置--用户管理--用户目录--添加目录-LDAP 高级设置 用户模式设置 组模式设置 成员 模式设置 快速测试 测试并保存 登陆用户登陆 说明： jira内置admin用户和ldap用户会存在冲突，如果ldap用户创建了admin用户，则admin为普通用户，不是管理员。

mindoc集成 ldap认证

修改app.conf文件添加ldap相关配置 验证用户登陆 原内置admin账号不可登陆，如果确实需要切换ldap需要解决这些问题