Deepin系统基于LDAP统一认证

本人近期参与团队做Deepin相关的项目时，需要如同微软AD一样对各终端进行统一认证管理，则本想着通过搜索网上相关资料和官方相关文档一步一步 *** 作很快搞定，却发现网络上Deepin的这块指导文档几乎没有。通过本人对Linux系统的理解摸索和查看Deepin dde-session-ui源码资源，经反复的测验，最终走通了整个流程。为表示支持一下国产开源系统DeepinOS，决定整理分享一下相关指南以方便大家更快的使用DeepinOS深度性的功能，并集成应用到工作环境中去。
注：文档不会对LDAP Server部署与配置 *** 作进行说明，请查找网上相关资源，这方面比较多。另外本人应用的Deepin系统环境为V20社区版本。

默认此处安装时有Console UI可以配置LDAP client，可以忽略或按流程进行连接LDAP Server端设置，如果选择忽略则进行下面第二步 *** 作。

这两个为主要的LDAP客户端认证配置文件，如果在第一步通过UI界面配置了应该会自动生成相关的配置，则不需要手动修改配置。
可以参看一下本人环境配置实例，注意"X"需要根据自己实际的LDAP服务器信息选择协议与地址等配置(这方面配置可参照debian ldap客户端安装指南)。

/etc/pamd/common-auth
/etc/pamd/common-account
/etc/pamd/common-password
/etc/pamd/common-session-noninteractive

可参考一下本人环境的相关配置

配置文件位置
/usr/share/dde-session-ui/dde-session-uiconf

1）首先检验保障LDAP SERVER正常性（这块有ldapsearch工具等）
2）开启Deepin系统SSH服务，先通过SSH来验证LDAP用户与认证是否正常
3）tail -f /var/log/authlog 测试时实时查看日志信息，如果出错可以日志反馈信息排查问题点（本人遇到几次LDAP服务器连接问题，日志上可以明显提示出来并可查看是哪个进程报错，如是libnss还是pam_ldap相关的信息等）

希望本文对各位有帮助，同时望有更多的技术爱好者用行动去支持国产化系统的发展。

检查测试ldap配置

如果从LDAP服务器中删除了用户，则该用户也会在GitLab中被阻止。用户将立即被阻止登录。但是，LDAP检查缓存时间为一小时（请参阅注释），这意味着已经登录或通过SSH使用Git的用户仍然可以访问GitLab最多一个小时。在GitLab管理区域中手动阻止用户以立即阻止所有访问。

在集成AD后，为了兼容前期Gitlab创建的用户账号，在创建AD用户账号时只需保证 sAMAccountName，email 属性与Gitlab用户的 Username、电子邮箱 的值一致即可（密码可以不同），使用这种方式创建的AD账户登录Gitlab时Gitlab不会创建新用户。

Nginx Proxy Manager 是一个基于MIT协议的开源项目，这个项目实现了通过web界面管理控制一些Nignx常用的功能，比如重定向、反向代理、404、甚至提供了免费的SSL，Nginx-proxy-ldap-manager在Nginx Proxy Manager的基础上添加了nginx-auth-ldap认证模块。

docker-compose

管理界面端口: 81
默认管理员密码：

使用AD认证时才配置Advanced，auth_ldap_servers值与nginxconf文件中的ldap_server值对应

1 How to configure LDAP with GitLab CE
2 General LDAP Setup
3 nginx-auth-ldap
4 LDAP 认证
5 nginx-proxy-ldap-manager

1安装软件：
yum install freeradius freeradius-ldap freeradius-utils -y

2启动服务
systemctl start radiusdservice
3开机自动启动
systemctl enable radiusdservice

4修改配置文件 /etc/raddb/mods-available/ldap主要是ldap部分，其它都是默认
[root@10-57-22-55 mods-available]# cat /etc/raddb/mods-available/ldap | grep -v '#' | grep -v ^$

5在 mods-enabled/ 下执行ln 注意后面有点

6在 sites-available/ 下创建 site_ldap
[root@10-57-22-55 sites-available]# cat site_ldap

7在 sites-enabled/ 下执行ln 注意后面有点

重启服务器
systemctl restart radiusdservice

测试 命令如下
radtest user password localhost:1833 0 testing123

以下结果表示成功：Received Access-Accep（密码带特殊字符需要用‘’引号引起来）

以下为密码错误Received Access-Reject

LDAP是轻量文档访问协议。
首先，要搭一个LDAP服务器，然后在EWS 上配置好LDAP 访问后。可以使用LDAP 配置的用户登录到打印机。扫描的文件可以存到LDAP 服务器上面。

ca体系中提供目录浏览服务的是ldap服务器。
原题：(d)在ca体系中提供目录浏览服务。a安全服务器。bca服务器。c注册机构ra。ddldap服务器。
安全服务器用于提供证书申请、浏览、证书撤消列表以及证书下载等安全服务；CA服务器是整个证书机构的核心，负责证书的签发；注册机构r面向登记中心 *** 作员，在CA体系结构中起承上启下的作用；LDAP服务器提供目录浏览服务，其他用户通过访问LDAP服务器就能够得到其他用户的数字证书。

---