LDAPAD认证

检查测试ldap配置

如果从LDAP服务器中删除了用户，则该用户也会在GitLab中被阻止。用户将立即被阻止登录。但是，LDAP检查缓存时间为一小时（请参阅注释），这意味着已经登录或通过SSH使用Git的用户仍然可以访问GitLab最多一个小时。在GitLab管理区域中手动阻止用户以立即阻止所有访问。

在集成AD后，为了兼容前期Gitlab创建的用户账号，在创建AD用户账号时只需保证 sAMAccountName，email 属性与Gitlab用户的 Username、电子邮箱 的值一致即可（密码可以不同），使用这种方式创建的AD账户登录Gitlab时Gitlab不会创建新用户。

Nginx Proxy Manager 是一个基于MIT协议的开源项目，这个项目实现了通过web界面管理控制一些Nignx常用的功能，比如重定向、反向代理、404、甚至提供了免费的SSL，Nginx-proxy-ldap-manager在Nginx Proxy Manager的基础上添加了nginx-auth-ldap认证模块。

docker-compose

管理界面端口: 81
默认管理员密码：

使用AD认证时才配置Advanced，auth_ldap_servers值与nginxconf文件中的ldap_server值对应

1 How to configure LDAP with GitLab CE
2 General LDAP Setup
3 nginx-auth-ldap
4 LDAP 认证
5 nginx-proxy-ldap-manager

DNS 服务器不响应客户端。原因： DNS 服务器受到网络故障的影响。解决方案： 验证服务器计算机是否有能正常工作的网络连接。首先，使用基本网络和硬件疑难解答步骤，检查相关的客户端硬件（电缆和网络适配器）在客户端是否运转正常。如果服务器硬件已准备好且工作正常，请使用 Ping 命令检查与受影响的 DNS 服务器位于同一网络上的其他在用和可用计算机或路由器（如它的默认网关）之间的网络连接性。请参阅： 使用 Ping 命令测试 TCP/IP 配置。原因： 可以通过基本网络测试访问到 DNS 服务器，但不能响应来自客户端的 DNS 查询。解决方案： 如果 DNS 客户端可以使用 Ping 检测 DNS 服务器计算机的连接性，请确认 DNS 服务器是否已启动，而且是否能够侦听对客户端请求的响应。请尝试使用 nslookup 命令测试服务器是否可以响应 DNS 客户端。请参阅： 使用 nslookup 命令验证 DNS 服务器响应；启动或停止 DNS 服务器。原因： DNS 服务器已被配置为仅限对其已配置的 IP 地址的特定列表提供服务。最初用于测试其响应性的 IP 地址不包括在列表中。解决方案： 如果已将服务器配置成对它将响应的查询的 IP 地址进行限制，则客户端用于联系它的 IP 地址可能不在允许向客户端提供服务的受限制 IP 地址列表中。请尝试再次测试服务器的响应，但应指定一个已知在服务器的受限制接口列表中的其他 IP 地址。如果 DNS 服务器响应该地址，则向列表添加该缺少的 IP 地址。请参阅： 使用 nslookup 命令验证 DNS 服务器响应；限制 DNS 服务器只侦听选定的地址。原因： DNS 服务器已被配置成禁止使用其自动创建的默认反向查找区域。解决方案： 验证已为服务器创建了自动创建的反向查找区域，或者还没有对服务器进行高级配置更改。默认情况下，DNS 服务器会根据征求意见文档 (RFC) 的建议自动创建下列三个标准反向查找区域：这些区域是用它们所涵盖的、在反向查找中无用的公用 IP 地址（0000、127001 和 255255255255）创建的。作为对应于这些地址的区域的权威机构，DNS 服务可以避免不必要的向根服务器的递归，以便对这些类型的 IP 地址执行反向查找。尽管可能性很小，但仍有可能不创建这些自动区域。这是因为禁止创建这些区域涉及到用户要对服务器注册表进行高级手动配置。要验证是否已经创建了这些区域，请执行下列 *** 作：1打开 DNS 控制台。2从“查看”菜单，单击“高级”。3在控制台树中，单击“反向查找区域”。位置 DNS/适用的 DNS 服务器/反向查找区域4在详细信息窗格中，确认是否存在以下反向查找区域： 0in-addrarpa 127in-addrarpa 255in-addrarpa请参阅： 打开 DNS 控制台；DNS RFC。原因： 将 DNS 服务器配置为使用非默认的服务端口，如在高级安全性或防火墙的配置中。解决方案： 验证 DNS 服务器是否未在使用非标准配置。这种情况很少但仍有可能发生。默认情况下，nslookup 命令使用用户数据报协议 (UDP) 端口 53 向目标 DNS 服务器发送查询。如果 DNS 服务器位于另一个网络上，且只能通过一个中间主机（如数据包筛选路由器或代理服务器）才能访问，则 DNS 服务器可能使用非标准端口以侦听并接收客户端请求。如果是这种情况，请确定是否有意地使用了任何中间防火墙或代理服务器配置来阻止用于 DNS 的已知服务端口上的通信。如果不是，则可以向这些配置添加这样的数据包筛选器，以允许至标准 DNS 端口的通信。此外，还要检查 DNS 服务器事件日志以查看是否发生了事件 ID 414 或其他与服务相关的重要事件，这些事件可能指明 DNS 服务器没有响应的原因。请参阅： DNS 服务器日志参考；查看 DNS 服务器系统事件日志；Microsoft Windows 部署和资源工具包。DNS 服务器无法正确解析名称。原因： DNS 服务器为成功应答的查询提供了不正确的数据。解决方案： 确定出现 DNS 服务器错误数据的原因。最可能的原因包括： 区域中的资源记录 (RR) 没有动态更新。 手动添加或修改区域中

在 Windows Server 2000、2003 和2008 中，管理员使用各种命令行工具和管理控制台管理单元连接到其 Active Directory 域进行管理工作，通常我们习惯于使用MMC界面，但是很多高级管理 *** 作只能在CMD下完成，而CMD下的命令经常成为我们的困惑。并且基于CMD的脚本的编写对于系统管理员要求很高。为了解决这种情况Windows Server 2008 R2 中的 Active Directory 模块合并了一组 cmdlet的Windows PowerShell 模块通过使用这些cmdlet，可在单一的独立程序包中管理您的 Active Directory 域、Active Directory 轻型目录服务 (AD LDS) 配置集和 Active Directory 数据库装载工具实例。
首先让我们了解一下PowerShell的功能，系统维护、管理中大家常在命令提示符(cmdexe)下进行 *** 作，对Windows PowerShell可能还是比较陌生。Windows PowerShell将成为CDM的继任者，是下一代命令行工具。Windows PowerShell目前最高版本为20，并且已经集成到Windows Server 2008及Windows 7中。Windows PowerShell使得IT管理员更容易地控制系统管理和加速自动化，作为系统管理员应该掌握和使用它。Windows PowerShell 是一种新的交互式的命令行和基于任务脚本编写技术，它使信息技术 (IT) 管理员能够全面地自动 *** 作和控制系统管理任务，从而提高了管理员的生产力。Windows PowerShell 包括多个系统管理实用工具、一致的语法和命名惯例、及对普通管理数据更好地导航，如登记、证书存储 或 Windows Management Instrumentation (WMI)。Windows PowerShell 还专门针对 IT 管理，提供直观的脚本编写语言。之前的UNIX 的世界就有功能强大的 shell，而现在 Windows 环境也有了；Windows PowerShell 不仅提供功能相当于BASH的命令列 shell，同时也内建脚本语言以及辅助脚本程序的工具。Windows PowerShell 是以 NET 技术为基础，并且与现有的 WSH 保持回溯兼容，因此 Windows PowerShell 的脚本程序不仅能存取 NET CLR，也能使用现有的 COM 技术。PowerShell有一个非常好的特点，那就是它有一个非常全面的帮助系统，并与Shell本身紧密集成。现在仅仅知道了cmdlet的名字，就可以通过调用Get-Help来获取其他有关这个cmdlet的信息例如：Get-Help Get-Command。然而，这些信息主要是一个语法图和一些简单描述。如果希望获取到更多的信息，包括了例子和参数的详细描述等信息，就需要加入-full参数，例如：Get-Help Get-Command –Full。对例子感兴趣，那么就加入-examples参数，例如Get-Help Get-command –examples。最让人高兴的是可以使用管道技术将Get-Help定向输出到more命令中，它允许你每次显示一个屏幕的内容，例如Get-Help Get-Command –full | more。Windows PowerShell 包含了数种系统管理工具、简易且一致的语法，提升管理者处理常见如登录数据库、WMI。Exchange Server 2007 以及 System Center Operations Manager 2007 等服务器软件都将内建 Windows PowerShell。PowerShell现在配备了Active Directory域服务（AD DS）模块，包含了超过75个Active Directory cmdlets。并且可以使用全新的PowerShell脚本，在Technet网站上提供了大量的脚本资源，现在可以通过脚本和PoweShell图形界面实现对于活动目录的管理。最让人感到惊喜的是tab-completion--按Tab键自动补齐功能，在用户敲击Tab键时，Windows会根据用户当时的情况，自动补齐下一步要输入的字符。这样将大大简化管理员的工作并且降低使用CMD时命令容易拼写错误的问题。
下面是列举的常用命令：
Disable-ADAccount 禁用 Active Directory 帐户。
Enable-ADAccount 启用 Active Directory 帐户。
Unlock-ADAccount 解锁 Active Directory 帐户。
Get-ADAccountAuthorizationGroup 获取包含帐户的 Active Directory 安全组。
Set-ADAccountExpiration 设置 Active Directory 帐户的截止日期。
Set-ADAccountPassword 修改 Active Directory 帐户的密码。
Set-ADDefaultDomainPasswordPolicy 修改 Active Directory 域的默认密码策略。
Move-ADDirectoryServerOperationMasterRole 将 *** 作主机（也称为灵活单主机 *** 作或 FSMO）角色移动到 Active Directory 域控制器。
Get-ADDomain 获取 Active Directory 域。
Add-ADDomainControllerPasswordReplicationPolicy 将用户、计算机和组添加至只读域控制器 (RODC) 密码复制策略 (PRP) 的允许列表或拒绝列表。
Set-ADDomainMode 设置 Active Directory 域的域功能级别。
Set-ADForestMode 设置 Active Directory 林的林模式。
Get-ADGroup 获取一个或多个 Active Directory 组。
New-ADGroup 创建 Active Directory 组。
Remove-ADGroup 删除 Active Directory 组。
Set-ADGroup 修改 Active Directory 组。
Add-ADGroupMember 向 Active Directory 组添加一个或多个成员。
Get-ADGroupMember 获取 Active Directory 组的成员。
Remove-ADGroupMember 从 Active Directory 组删除一个或多个成员。
Get-ADObject 获取一个或多个 Active Directory 对象。
Move-ADObject 将 Active Directory 对象或对象容器移动至不同的容器或域。
New-ADObject 创建 Active Directory 对象。
Remove-ADObject 删除 Active Directory 对象。
Rename-ADObject 更改 Active Directory 对象的名称。
Restore-ADObject 还原 Active Directory 对象。
Set-ADObject 修改 Active Directory 对象。
Get-ADOptionalFeature 获取一个或多个 Active Directory 可选功能。
Get-ADOrganizationalUnit 获取一个或多个 Active Directory OU。
New-ADOrganizationalUnit 新建 Active Directory OU。
Remove-ADOrganizationalUnit 删除 Active Directory OU。
Set-ADOrganizationalUnit 修改 Active Directory OU。
Add-ADPrincipalGroupMembership 将成员添加至一个或多个 Active Directory 组。
Get-ADPrincipalGroupMembership 获取拥有指定用户、计算机或组的 Active Directory 组。
Remove-ADPrincipalGroupMembership 将成员从一个或多个 Active Directory 组中删除。
New-ADServiceAccount 新建 Active Directory 服务帐户。
Remove-ADServiceAccount 删除 Active Directory 服务帐户。
Set-ADServiceAccount 修改 Active Directory 服务帐户。
Get-ADUser 获取一个或多个 Active Directory 用户。
New-ADUser 新建 Active Directory 用户。
Remove-ADUser 删除 Active Directory 用户。
Set-ADUser 修改 Active Directory 用户。
1、要增加Active Directory域服务模块，使用“Add-Module ActiveDirectory”命令，然后“Get-Module”；
2、要得到Contosocom域的信息， Get-ADDomain “Contosocom”；
3、要显示域控制器的具体信息， Get-ADDomainController –Discover（参数）；
4、要在Contosocom域下的下建立Guangzhou组织单元，
New-ADOrganizationalUnit -Name "guangzhou" -Path "DC=Contoso,DC=com"
5、将新的提供程序驱动器连接到 Active Directory 域、AD LDS 服务器或 Active Directory 数据库装载工具实例，
New-PSDrive -Name -PSProvider ActiveDirectory -Root "" –Server -Credential \
参数 描述
-Name 指定要添加的驱动器的名称。
-PSProvider ActiveDirectory 提供程序的名称，在本例中为 ActiveDirectory。
-Root "" 指定提供程序的内部根目录或路径。
–Server 指定托管您的 Active Directory 域或 AD LDS 实例的服务器。
-Credential \ 指定连接到 Active Directory 域 AD LDS 服务器必须拥有的凭据。
虽然PoweShell对于很多人比较陌生，但是只要使用 Get-Help -Detailed
和Get-Help -Full，其中 是要研究的cmdlet 的名称。就可以获取详细的信息，这样更加便于我们尽快掌握PowerShell的使用。希望大家可以通过新的PowerShell更加有效的管理活动目录。

---