Jumpserver 堡垒机集成 OpenLDAP

发表于
字数统计: 608 | 阅读时长 ≈ 2

一、LDAP 使用说明

  • LDAP 支持 使用 LADP 与 Windows AD 的用户作为 jumpserver 登录用户
  • 已经存在的用户不能与要登录的 LDAP 用户有用户名和邮箱同名, 具有唯一性

二、jumpserver LDAP配置

图片1

测试连接通过后,点提交,然后再导入用户

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
LDAP地址  ldap://serverurl:389  或者  ldaps://serverurl:636
# 此处是设置LDAP的服务器,推荐使用IP, 防止解析问题

绑定DN  ou=jumpserver,ou=groups,dc=sys,dc=com
# 这里是设置认证用户的信息, jumpserver会使用这个用户去校验ldap的信息是否正确

密码
# 上面认证用户的密码

用户OU  ou=users,dc=sys,dc=com
# 这里是设置用来登录jumpserver的组织单元, 比如我要用某个ou的用户来登录jumpserver
# 多OU用法  ou=ops,ou=users,dc=sys,dc=com | ou=dev,ou=users,dc=sys,dc=co | ou=test,ou=users,dc=sys,dc=co

用户过滤器  (cn=%(user)s)
# 这里是设置筛选ldap用户的哪些属性, 不能有多余的空格

LADP属性映射  {"username": "cn", "name": "sn", "email": "mail"}
username name email 是jumpserver的用户属性(不可更改)
cn       sn   mail  是ldap的用户属性(可自定义)
# 这里的意思是, 把ldap用户的属性映射到jumpserver上

启动LDAP认证
# 如果需要使用 LDAP或域用户 登录 jumpserver,则必选
  • DN 一定要是完整的DN, 不能跳过OU, 可以使用其他工具查询 cn=admin,ou=aaa,dc=jumpserver,dc=org 不能缩写成 cn=admin,dc=jumpserver,dc=org
  • 用户OU 用户OU可以只写顶层OU, 不写子OU
    ou=aaa,ou=bbb,ou=ccc,dc=jumpserver,dc=org, 可以只写 ou=ccc,dc=jumpserver,dc=org
  • 用户过滤器 根据规则到 用户OU 里面去检索用户, 支持 memberof
    (uid=%(user)s) 或 (sAMAccountName=%(user)s)
  • LADP属性映射 username name email 这三项不可修改删除
    {“username”: “uid”, “name”: “sn”, “email”: “mail”} 或 {“username”: “sAMAccountName”, “name”: “cn”, “email”: “mail”}
    注意: 用户过滤器用什么筛选, LDAP属性映射字段要与其一致, 过滤器用 uid, LDAP属性映射也要用 uid

三、遇到的问题

导入用户失败

配置好LDAP后导入用户失败,日志报错如下:

图片2

解决办法:修改users_user表结构中的email索引类型unique

图片3

-------------本文结束感谢您的阅读-------------
分享到: 收藏夹 复制网址 邮件 微信 QQ空间 腾讯微博 豆瓣 一键分享 更多