penLdap(Lightweight Directory Access Protocol)是什么?它其實(shí)是一個(gè)開源的、具備工業(yè)標(biāo)準(zhǔn)特性的應(yīng)用協(xié)議,可以使用TCP協(xié)議提供訪問控制和維護(hù)分布式信息的目錄信息。這是一個(gè)傳統(tǒng)意義上的書面解釋,是的,毫無疑問,你會(huì)一臉懵逼。
好吧,讓我們變得感性一點(diǎn),假如我每天早上使用Twitter想聽聽懂王又吹了什么牛,登錄Twitter賬號密碼,緊接著又想上Instagram看看女神又post了什么新靚照,好的,登錄Instagram賬號密碼,摸了一上午的魚之后,突然想起來要登錄公司的郵箱,看看有沒有新需求,是的,又需要那該死的賬號和密碼,甚至于查詢社保、公積金提取、交罰款都需要各自系統(tǒng)的賬號和密碼。想象一下,如果有一套系統(tǒng)可以統(tǒng)一管理和維護(hù)所有下游應(yīng)用的賬號和權(quán)限,我們不需要花時(shí)間重復(fù)的注冊新應(yīng)用的賬號,而只需要關(guān)注應(yīng)用本身,從而實(shí)現(xiàn)賬號集中認(rèn)證管理,此時(shí)作為賬號管理員的我們只須維護(hù)OpenLDAP 服務(wù)器條目即可,金甌無缺江山一統(tǒng),這就是openladp能夠帶給我們的好處。
LDAP是非常典型的層級結(jié)構(gòu),信息模型是建立在屬性條目(entries)的基礎(chǔ)上。一個(gè)屬性條目是一些屬性的集合,并且具有一個(gè)全局唯一的"可區(qū)分名稱"DN,一個(gè)條目可以通過DN來引用。每一個(gè)條目的屬性具有一個(gè)類型和一個(gè)或者多個(gè)值。類型通常是容易記憶的名稱,比如"cn"是通用名稱(common name) ,或者"mail"是電子郵件地址。條目的值的語法取決于屬性類型。比如,cn屬性可能具有一個(gè)值"jack joe" 。一個(gè)mail屬性可能包含"admin@v3u.cn" 。一個(gè)pngphoto屬性可能包含一幅PNG(二進(jìn)制)格式的圖片。
這里簡單介紹一下openldap常用的層級關(guān)鍵字的解釋:
dc:Domain Component 域名的范圍,其格式是將完整的域名分成幾部分,如域名為v3u.cn則寫成dc=v3u,dc=cn。
uid:User Id 用戶ID,比如自增長“1”。
ou:Organization Unit 組織單位,類似于文件系統(tǒng)中的子目錄,它是一個(gè)容器對象,組織單位可以包含其他各種對象(包括其他組織單元),如“newgroup”。
cn:Common Name 公共名稱,如“jack joe”。
sn: Surname 姓,如“joe”。
dn :Distinguished Name 惟一辨別名,類似于文件系統(tǒng)中的絕對路徑,每個(gè)對象都有一個(gè)惟一的名稱,類似于mysql的全局唯一索引,如“uid= tom,ou=market,dc=example,dc=com”,記住在一個(gè)目錄樹中DN總是惟一的。
理解了概念,讓我們來實(shí)操一把,因?yàn)閷?shí)踐永遠(yuǎn)是檢驗(yàn)真理的唯一標(biāo)準(zhǔn),首先安裝Docker,參照:win10系統(tǒng)下把玩折騰DockerToolBox以及更換國內(nèi)鏡像源(各種神坑)。
隨后拉取openldap鏡像:
docker pull osixia/openldap:1.3.0這里我們使用1.3穩(wěn)定版,拉取成功后查看本地鏡像
docker images可以看到只有200mb左右,非常小巧:
liuyue:~ liuyue$ docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
osixia/openldap 1.3.0 faac9bb59f83 6 months ago 260MB啟動(dòng)容器:
docker run -p 389:389 --name myopenldap --network bridge --hostname openldap-host --env LDAP_ORGANISATION="v3u" --env LDAP_DOMAIN="v3u.cn" --env LDAP_ADMIN_PASSWORD="admin" --detach osixia/openldap:1.3.0這里我們通過端口映射將389端口作為鏈接橋梁,同時(shí)配置LDAP組織者:--env LDAP_ORGANISATION="v3u",配置LDAP域:--env LDAP_DOMAIN="v3u.cn",配置LDAP密碼:--env LDAP_ADMIN_PASSWORD="admin",默認(rèn)登錄用戶名:admin,并且開啟后臺守護(hù)進(jìn)程。
查看容器運(yùn)行狀態(tài):
docker ps可以看到已經(jīng)在后臺啟動(dòng)了:
liuyue:~ liuyue$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
b62d1f66c2b8 osixia/openldap:1.3.0 "/container/tool/run" 2 days ago Up 2 days 0.0.0.0:389->389/tcp, 636/tcp myopenldap
liuyue:~ liuyue$服務(wù)確認(rèn)沒問題之后,我們通過python來進(jìn)行邏輯的編寫,首先安裝依賴
pip3 install ldap3隨后編寫測試腳本 test_ldap.py ,首先測試一下鏈接ldap服務(wù)器:
from ldap3 import Server, Connection, ALL,MODIFY_REPLACE
s = Server('localhost', get_info=ALL)
c = Connection(s, user='cn=admin,dc=v3u,dc=cn', password='admin')
c.bind()
print(c.extend.standard.who_am_i())這里的localhost是docker容器的ip,同時(shí)使用賬號admin登錄,注意賬號(cn)以及域(dc)不要寫錯(cuò),不出意外的話,系統(tǒng)會(huì)返回當(dāng)前驗(yàn)證的用戶信息:
liuyue:mytornado liuyue$ python3 "/Users/liuyue/wodfan/work/mytornado/test_ldap.py"
dn:cn=admin,dc=v3u,dc=cn
liuyue:mytornado liuyue$初始狀態(tài)下,LDAP是一個(gè)空目錄,即沒有任何數(shù)據(jù)。可通過程序代碼向目錄數(shù)據(jù)庫中添加數(shù)據(jù),也可使用ldap3庫的ldapadd命令來完成添加數(shù)據(jù)的操作,該命令可將一個(gè)LDIF文件中的條目添加到目錄:
這里我們來添加一個(gè)OU,也就是組織(OrganizationalUnit)。
#添加組織
res = c.add('OU=v3u_users,dc=v3u,dc=cn', object_class='OrganizationalUnit')
print(res)
print(c.result)可以看到添加成功:
liuyue:mytornado liuyue$ python3 "/Users/liuyue/wodfan/work/mytornado/test_ldap.py"
True
{'result': 0, 'description': 'success', 'dn': '', 'message': '', 'referrals': None, 'type': 'addResponse'}隨后可以為該組織添加一個(gè)群組(group):
# 添加群組
ldap_attr = {}
ldap_attr['objectClass'] = ['top', 'posixGroup']
ldap_attr['gidNumber'] = '1'
c.add('cn=mygroup,dc=v3u,dc=cn',attributes=ldap_attr)
print(c.result)返回:
liuyue:mytornado liuyue$ python3 "/Users/liuyue/wodfan/work/mytornado/test_ldap.py"
{'result': 0, 'description': 'success', 'dn': '', 'message': '', 'referrals': None, 'type': 'addResponse'}
liuyue:mytornado liuyue$緊接著就是添加人員了:
#添加用戶
ldap_attr = {}
ldap_attr['cn'] = "test user1"
ldap_attr['sn'] = "測試"
ldap_attr['userPassword'] = "1234"
user_dn = "cn=testuser1,cn=mygroup,dc=v3u,dc=cn"
c.add(dn=user_dn,object_class='inetOrgPerson',attributes=ldap_attr)
print(c.result)這里的cn可以理解為用戶名,sn為姓,userPassword顧名思義就是該用戶的密碼,dn則是該用戶在系統(tǒng)中的唯一標(biāo)識,注意指定剛剛建立的群組mygroup,返回:
liuyue:mytornado liuyue$ python3 "/Users/liuyue/wodfan/work/mytornado/test_ldap.py"
{'result': 0, 'description': 'success', 'dn': '', 'message': '', 'referrals': None, 'type': 'addResponse'}
liuyue:mytornado liuyue$此時(shí),我們可以查詢一下剛剛建立好的用戶:
print(c.search("dc=v3u,dc=cn", '(&(cn=testuser1))', attributes=['*']))
print(c.entries)就可以看到用戶的具體信息:
liuyue:mytornado liuyue$ python3 "/Users/liuyue/wodfan/work/mytornado/test_ldap.py"
True
[DN: cn=testuser1,cn=mygroup,dc=v3u,dc=cn - STATUS: Read - READ TIME: 2020-11-23T17:58:08.569044
cn: test user1
testuser1
objectClass: inetOrgPerson
sn: 測試
userPassword: b'1234'
]
liuyue:mytornado liuyue$如果我們要修改用戶信息,可以使用modify方法:
#修改用戶
c.modify('cn=testuser1,cn=mygroup,dc=v3u,dc=cn',{'uid':[(MODIFY_REPLACE, ['1'])]})
print(c.result)這里修改用戶的uid屬性,返回:
liuyue:mytornado liuyue$ python3 "/Users/liuyue/wodfan/work/mytornado/test_ldap.py"
{'result': 0, 'description': 'success', 'dn': '', 'message': '', 'referrals': None, 'type': 'modifyResponse'}
liuyue:mytornado liuyue$再次搜索該用戶:
print(c.search("dc=v3u,dc=cn", '(&(cn=testuser1))', attributes=['*']))
print(c.entries)可以看到uid已經(jīng)被添加好了:
liuyue:mytornado liuyue$ python3 "/Users/liuyue/wodfan/work/mytornado/test_ldap.py"
True
[DN: cn=testuser1,cn=mygroup,dc=v3u,dc=cn - STATUS: Read - READ TIME: 2020-11-23T18:02:47.080555
cn: test user1
testuser1
objectClass: inetOrgPerson
sn: 測試
uid: 1
userPassword: b'1234'
]最后,如果員工離職的話,公司內(nèi)所有賬號和權(quán)限應(yīng)該被回收,所以進(jìn)行刪除操作:
#刪除用戶
c.delete(dn='cn=testuser1,cn=mygroup,dc=v3u,dc=cn')
print(c.result)返回:
{'result': 0, 'description': 'success', 'dn': '', 'message': '', 'referrals': None, 'type': 'delResponse'}再次查詢已經(jīng)獲取不到記錄:
print(c.search("dc=v3u,dc=cn", '(&(cn=testuser1))', attributes=['*']))
print(c.entries)
liuyue:mytornado liuyue$ python3 "/Users/liuyue/wodfan/work/mytornado/test_ldap.py"
False
[]
至此,我們就基于openldap的樹形結(jié)構(gòu)將組織以及用戶信息分別進(jìn)行存儲(chǔ)和CURD(增刪改查)操作,在樹的root(根)一般定義總域(c=v3u)或者域名后綴(dc=cn),其次往往定義一個(gè)或多個(gè)組織(organization,o)或組織單元(organization unit,ou)。一個(gè)組織單元可以包含人員、設(shè)備信息(服務(wù)器、電腦等)相關(guān)信息。例如uid=testuser1,ou=v3u_users,dc=v3u,dc=cn,如圖所示:
除此以外,OpenLDAP 還是一種典型的分布式結(jié)構(gòu),提供復(fù)制同步,可將主服務(wù)器上的數(shù)據(jù)通過推或拉的機(jī)制實(shí)現(xiàn)在從服務(wù)器上更新,完成數(shù)據(jù)的同步,從而避免OpenLDAP 服務(wù)器出現(xiàn)單點(diǎn)故障,實(shí)現(xiàn)了高可用架構(gòu)。
OpenLdap目錄層級結(jié)構(gòu)是一個(gè)專門為搜索和瀏覽而設(shè)計(jì)的數(shù)據(jù)庫,雖然也支持簡單的插入、刪除、修改功能。但是我們可以理解為它是為瀏覽和搜索而生的,它的查詢速度很快,相反插入速度較慢,和關(guān)系型數(shù)據(jù)庫相比,它并不支持事務(wù)和回滾以及復(fù)雜的插入、更新等連貫操作功能,這一點(diǎn)和Elasticsearch有幾分相似,但是,古人云:“射不主皮,力不同科”,如果您的系統(tǒng)擴(kuò)容頻繁,下游應(yīng)用層出不窮,那么您就可以考慮用它來做統(tǒng)一用戶管理,為您的應(yīng)用保駕護(hù)航。
Active Directory 用戶和計(jì)算機(jī) (ADUC) MMC 管理單元是管理 Active Directory 域的主要工具之一。 ADUC (dsa.msc) 管理單元用于執(zhí)行典型的域管理任務(wù)并管理 Active Directory 域中的用戶、組、計(jì)算機(jī)和組織單位。默認(rèn)情況下,在部署 Active Directory 域服務(wù) (AD DS) 角色時(shí),當(dāng) Windows Server 升級為域控制器時(shí),Active Directory 用戶和計(jì)算機(jī) (dsa.msc) 控制臺會(huì)安裝在 Windows Server 上。
ADUC 管理單元可以作為遠(yuǎn)程服務(wù)器管理工具 (RSAT) 的一部分安裝在 Windows 10/11 桌面版本上。 RSAT 包括多個(gè)命令行工具、PowerShell 模塊和圖形管理單元,用于遠(yuǎn)程管理 Windows Server 主機(jī)、Active Directory 以及其他服務(wù)器角色和功能。
默認(rèn)情況下,Windows 桌面操作系統(tǒng)版本(例如 Windows 11、10 和 8.1)上不安裝 RSAT 工具(包括 Active Directory 用戶和計(jì)算機(jī)管理單元)。在 Windows 10 和 11 上,您可以使用“設(shè)置”應(yīng)用或使用 PowerShell 將 ADUC 作為 RSAT 的一部分安裝。
提示:您只能在 Windows 10 或 11 的專業(yè)版和企業(yè)版上安裝 RSAT Active Directory(不能在家庭版上安裝)。
在現(xiàn)代版本的 Windows 10 和 11(從內(nèi)部版本 1809 開始)中,可以從現(xiàn)代設(shè)置應(yīng)用程序?qū)?RSAT 組件安裝為按需功能 (FoD)。
您可以在現(xiàn)代桌面版本的 Windows 上安裝 ADUC 控制臺,如下所示:
按開始菜單 > 設(shè)置 > 應(yīng)用程序;
選擇可選功能 > 添加功能;
從可選功能列表中,選擇 RSAT:Active Directory 域服務(wù)和輕量級目錄工具,然后按“安裝”。
Windows 將從 Internet 下載 ADUC RSAT 二進(jìn)制文件并將其安裝在您的計(jì)算機(jī)上。
安裝 RSAT 后,您需要重新啟動(dòng)計(jì)算機(jī)。
提示: RSAT 作為早期 Windows 版本的單獨(dú) MSU 更新進(jìn)行分發(fā)。此更新必須從 Microsoft 網(wǎng)站手動(dòng)下載并安裝在您的 Windows 操作系統(tǒng)上。
然后可以通過“控制面板”>“打開或關(guān)閉 Windows 功能”小程序(可選功能.exe)啟用所需的 RSAT 功能。
您可以使用 PowerShell 在 Windows 10 和 11 上安裝 Active Directory 控制臺。打開提升的 PowerShell 控制臺并檢查您的計(jì)算機(jī)上是否安裝了 RSAT Active Directory 功能:
Get-WindowsCapability -Online | Where-Object {$_.Name -like "RSAT.ActiveDirectory*"}
在我們的示例中,未安裝 RSAT:Active Directory 域服務(wù)和輕量級目錄服務(wù)工具功能(狀態(tài) > NotPresent)。
如果缺少Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0組件,可以使用以下命令安裝:
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
您還可以使用 DISM 命令安裝 RSAT ADUC 功能:
DISM /Online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
檢查 AD RSAT 狀態(tài)。狀態(tài)應(yīng)更改為已安裝。
最新版本 Windows 中的 RSAT 組件作為按需功能 (FoD) 提供。 Windows 不會(huì)將本地 RSAT 二進(jìn)制文件存儲(chǔ)在本地驅(qū)動(dòng)器上;相反,它會(huì)從 Microsoft 更新服務(wù)器下載所需的 RSAT 文件。如果您的計(jì)算機(jī)處于隔離環(huán)境中,則在安裝 ADUC 管理單元時(shí)會(huì)出現(xiàn)錯(cuò)誤:
0x800f0954
沒有要安裝的功能
要在脫機(jī)計(jì)算機(jī)上安裝 RSAT 組件,您可以使用適用于 Windows 10/11 版本的 FoD ISO 映像。 FoD DVD 介質(zhì)可從批量許可服務(wù)中心 (VLSC) 或 my.visualstudio.com 下載。
要離線安裝 ADUC,您需要將 FoD ISO 映像掛載到虛擬驅(qū)動(dòng)器(例如驅(qū)動(dòng)器 F:)并從本地介質(zhì)運(yùn)行 ADUC 功能安裝:
Add-WindowsCapability -online -name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 -source -Source "F:" –LimitAccess
如果使用 WSUS 或 SCCM 將 Windows 更新部署到客戶端設(shè)備,則必須啟用特殊 GPO 選項(xiàng)才能正確安裝按需功能(包括 ADUC)。
打開本地組策略編輯器(gpedit.msc)并轉(zhuǎn)到計(jì)算機(jī)配置>管理模板>系統(tǒng);
啟用 GPO 選項(xiàng)指定可選組件安裝和組件修復(fù)的設(shè)置,并選中直接從 Windows Update 而不是 Windows Server Update Services (WSUS) 下載修復(fù)內(nèi)容和可選功能復(fù)選框。
使用以下命令更新計(jì)算機(jī)上的組策略設(shè)置:gpupdate /force。
如果沒有此選項(xiàng),Windows 11 將嘗試從本地 Windows 更新服務(wù)器獲取 RSAT(錯(cuò)誤 0x8024402c 和 0x800f081f)。
轉(zhuǎn)至開始菜單 > 所有程序 > Windows 工具以在 Windows 11 上運(yùn)行 Active Directory 管理單元。
在 Windows 10(及以前的版本)上,AD 管理管理單元位于控制面板的管理工具部分。
如您所見,有一個(gè)指向 MMC 控制臺 %SystemRoot%system32dsa 的新鏈接。出現(xiàn)了。
啟動(dòng) Active Directory 用戶和計(jì)算機(jī)管理單元。
或者,按 Win+R,鍵入 dsa.msc,然后單擊“確定”啟動(dòng) ADUC 控制臺。
如果您的計(jì)算機(jī)已加入 Active Directory 域,ADUC 控制臺將在啟動(dòng)時(shí)自動(dòng)連接到 Active Directory 站點(diǎn)中最近的 DC。
如果控制臺找不到域控制器,請使用 PowerShell 命令獲取 LogonServer 的名稱:
$env:LOGONSERVER
右鍵單擊 ADUC 控制臺中的根目錄,然后選擇“更改域控制器”。從列表中選擇您的登錄 DC 服務(wù)器的名稱。
始終使用距離您最近的域控制器。使用遠(yuǎn)程站點(diǎn)的域控制器時(shí),RSAT 控制臺可能會(huì)變慢。
如果要從非域計(jì)算機(jī)使用 dsa.msc 管理單元連接到 AD,則必須:
打開命令提示符并運(yùn)行命令:
runas /netonly /user:Domain_NameDomain_USER mmc
在空的 MMC 控制臺中,選擇“文件”>“添加/刪除管理單元”;
將 Active Directory 用戶和計(jì)算機(jī)管理單元添加到右側(cè)窗格,然后按“確定”;
右鍵單擊 ADUC > 連接到域并輸入域名來連接到域。
因此,OU Active Directory 域的結(jié)構(gòu)將顯示在 ADUC 管理單元中。
您將看到一組標(biāo)準(zhǔn)的 Active Directory OU 和容器:
保存的查詢 — 保存的搜索條件,允許快速重播 Active Directory 中的先前搜索(支持 LDAP 查詢);
內(nèi)置——內(nèi)置用戶帳戶;
計(jì)算機(jī) — 計(jì)算機(jī)帳戶的默認(rèn)容器;
域控制器——域控制器的默認(rèn)容器;
foreignSecurityPrincipals — 包含有關(guān)來自受信任外部域的對象的信息。通常,當(dāng)來自外部域的對象添加到當(dāng)前域的組時(shí),會(huì)創(chuàng)建這些對象;
用戶 — 用戶帳戶的默認(rèn)容器。
當(dāng)您選擇 OU 時(shí),您將看到它包含的對象的列表。 ADUC 控制臺可以顯示安全組、聯(lián)系人、用戶和計(jì)算機(jī)。
根據(jù)域結(jié)構(gòu),ADUC 控制臺可能包含其他容器。某些 AD 文件夾默認(rèn)不顯示。要顯示它們,請?jiān)陧敳坎藛沃羞x擇“視圖”>“高級功能”。
應(yīng)出現(xiàn)以下附加文件夾:
LostAndFound — 失去所有者的目錄對象;
NTDS 配額 — 目錄服務(wù)引用信息;
程序數(shù)據(jù) — 存儲(chǔ)在 Microsoft 應(yīng)用程序目錄服務(wù)中的數(shù)據(jù);
系統(tǒng) — 內(nèi)置系統(tǒng)參數(shù)。
在 ADUC 控制臺中,您可以執(zhí)行以下操作:
創(chuàng)建和管理用戶帳戶、計(jì)算機(jī)和 Active Directory 組;
使用 ADSI Edit 查看和編輯 AD 對象屬性;
搜索AD對象;
更改 Active Directory 中的用戶密碼或重置它;
創(chuàng)建組織單位并為 AD 對象構(gòu)建層次結(jié)構(gòu)。啟用或禁用OU誤刪除保護(hù);
將 OU 的管理權(quán)限委派給非管理域用戶;
提升域功能級別,并將 FSMO 角色移至另一個(gè)域控制器。