群晖搭建LDAP服务器实现一个账号登录DSM、Gitea、jellyfin

文章目录

前言

LDAP(轻量级目录访问协议)是一种用于访问和管理分布式目录服务的协议,它具有以下好处:

集中管理用户身份认证和授权:LDAP提供了一种方法,使组织能够集中管理用户的身份认证和授权。通过将用户信息存储在一个中心化的目录服务中,管理员可以更轻松地管理用户账户、密码策略和权限。

也就是说通过ldap 可以实现一个账号、密码可以登陆多个系统或者应用程序,只要他们支持LDAP。

研究几天后发现,使用群晖的LDAP还能够控制用户的登录权限,例如,只让用户登录DSM和Gitea,不能登录jellyfin,而且实现非常简单,这也是为什么选择群晖的套件,而不使用OPENLDAP的原因,其他的也能实现,主要是群晖的安装、使用来简单

安装LDAP Server

首先在群晖的套件中心找到LDAP Server,安装并打开,然后只需设置FQDN和密码即可。

FQDN可随意设置,例如 abc.com

请记住 Base DN 和 BindDN、还有设置的密码,后面需要这些参数。

新建群组

然后找到管理群组,新增两个群组,gitea和jellyfin群组,后续需要使用。

新增用户

点击管理用户,新增一个用户,请自己根据实际情况填写

加入群组,选择gitea和jellyfin,这是控制这两个登录的权限,取消掉以后就不能使用该账号登录对应的应用。

其他参数根据实际情况填写。

DSM加入LDAP

在控制面版找到域/LDAP

点击加入按钮,注意,IP为你群晖服务器的IP,DNS可以填路由器的地址,或者119或者114都可以。

BindDN、Base DN 、密码,填上述LDAP Server 的设置参数。

加入成功后的状态。

DSM使用LDAP登录

在控制面版,找到域/LDAP,然后选择LDAP用户,点击更新LDAP数据,可以看到多了一个test用户。

点击家目录,启动LDAP用户家目录服务

选中用户,邮件编辑,剩下的权限设置就和DMS账号一样,根据实际情况自行设置。

然后使用该账号登录即可。

登录成功!

Gitea配置

使用管理员账号登录Gitea,找到后台管理,身份及认证---->认证源---->添加认证源

配置可参考gitea的设置

参数 说明
主机 群晖IP地址
端口 389
绑定DN 群晖LDAP Server 的 BindDN
绑定密码 LDAP Server设置的密码
用户搜索基准 群晖LDAP Server 的 BaseDN

用户过滤规则

(&(objectClass=posixAccount)(|(uid=%[1]s)(mail=%[1]s))(memberOf=cn=gitea,cn=groups,dc=abc,dc=com))

请注意,其中cn=gitea的giea为ldap 服务器设置的群组名称。后面的,dc=xxx,dc=xxx为BaseDN,这两个一定要根据实际情况进行修改,这也是设置登录权限的关键。

后面的参数照填即可。

登录

第一次登录会提示用户名或密码不正确,不要慌,再点击一次登录即可。估计是第一次没同步。

第二次登录成功

可以看到用户认证源为ldap

!

取消其登录权限

找到LDAP Server ,选择用户,右键编辑,用户群组,将gitea取消掉,然后再次测试,发现会一直提示用户名或密码不正确。

!

Jellyfin配置

首先在插件中心安装LDAP-Auth这个插件

参数 说明
LDAP Server 群晖IP地址
LDAP Port: 389
LDAP Bind User 群晖LDAP Server 的 BindDN
LDAP Bind User Password LDAP Server设置的密码
LDAP Base DN for searches 群晖LDAP Server 的 BaseDN


LDAP Search Filter,这个和gitea不一样,但是也很类似,

其中cn=jellyfin的jellyfin为ldap 服务器设置的群组名称。后面的,dc=xxx,dc=xxx为BaseDN,这两个一定要根据实际情况进行修改,这也是设置登录权限的关键。

(&(memberOf=cn=jellyfin,cn=groups,dc=abc,dc=com)(objectClass=inetOrgPerson))


登录

输入账号密码,一次性登陆成功。

可以看见账号认证为LDAP

取消其登录权限见gitea取消其登录权限

总结

目前使用一段时间基本没有啥问题。但是有已下几个缺陷:
1.无法在gitea和jellyfin更改密码,但是可以登录dsm自助修改密码。
2.其中的封禁登录功能对gitea和jellyfin无效,封禁之后仍可继续登录,但是对dsm有效。

3.只有在LDAP添加的用户才能实现以上功能。
4.LDAP认证服务器一旦挂掉,所有的应用也就无法登录。
5.LDAP服务器里的用户删掉后,其它平台的用户依旧存在,需要手动删除用户以及配置。
6.LDAP认证服务器一旦挂掉,所有的应用也就无法登录。
7.LDAP服务器里的用户删掉后,其它平台的用户依旧存在,需要手动删除用户以及配置。

本来也就是家用,所以以上问题看起来也不是什么问题,剩下的只能继续慢慢研究。

大家有没有其他支持LDAP认证的平台软件推荐。

相关推荐
九河云1 小时前
AWS账号注册费用详解:新用户是否需要付费?
服务器·云计算·aws
Lary_Rock1 小时前
RK3576 LINUX RKNN SDK 测试
linux·运维·服务器
幺零九零零2 小时前
【计算机网络】TCP协议面试常考(一)
服务器·tcp/ip·计算机网络
云飞云共享云桌面3 小时前
8位机械工程师如何共享一台图形工作站算力?
linux·服务器·网络
一坨阿亮5 小时前
Linux 使用中的问题
linux·运维
幺零九零零6 小时前
【C++】socket套接字编程
linux·服务器·网络·c++
wclass-zhengge7 小时前
Docker篇(Docker Compose)
运维·docker·容器
李启柱7 小时前
项目开发流程规范文档
运维·软件构建·个人开发·设计规范
free8 小时前
netstat中sendq/recvq用于排查发送端发送数据的问题
服务器
力姆泰克8 小时前
看电动缸是如何提高农机的自动化水平
大数据·运维·服务器·数据库·人工智能·自动化·1024程序员节