从零搭建内部统一认证：我用OpenLDAP+LDAP Browser搞定了应用单点登录

从零搭建内部统一认证：我用OpenLDAP+LDAP Browser搞定了应用单点登录

当团队规模扩大到20人以上时，每天最常听到的抱怨往往是："Jenkins密码又忘了"、"Confluence的账号怎么又锁定了"。我们团队在经历多次账号同步的阵痛后，终于用OpenLDAP+LDAP Browser这套组合拳实现了GitLab/Jenkins/Confluence等系统的统一认证。整个过程就像搭建乐高积木——只要掌握核心模块的拼接逻辑，就能快速构建出稳定运转的身份认证体系。

1. 为什么选择OpenLDAP而非商业方案

在评估了Okta、Azure AD等商业方案后，我们最终选择了OpenLDAP。这个决定基于三个关键因素：

• 成本效益：商业方案每用户每月$2-5的定价，对50人团队意味着每年$1200-3000的固定支出
• 灵活度：自建方案可以完全自定义组织架构树（OU），比如我们按"部门/项目组/角色"三级划分
• 技术可控：所有数据保存在内网服务器，避免SaaS服务可能存在的合规风险

实际部署后发现，OpenLDAP在Windows环境的资源占用仅需200MB内存，对开发机性能几乎无影响

商业方案与自建方案对比：

2. Windows环境快速搭建OpenLDAP服务

2.1 避坑指南：选择正确的安装包

官方OpenLDAP仅支持Linux，但通过第三方移植版可在Windows运行。推荐使用maxcrc编译的版本（最新版v2.5.13），注意避开两个常见坑：

1. 不要从非官方渠道下载（如某些中文站点提供的修改版）
2. 安装路径避免包含中文或空格，建议直接使用C:\OpenLDAP

下载完成后，解压运行安装程序时需特别注意：

# 安装完成后验证服务是否注册成功 sc query "OpenLDAP Service" # 正常应显示 STATE : 1 STOPPED

2.2 关键配置项详解

安装过程中有三个核心参数需要设置：

1. Base DN：建议采用dc=yourcompany,dc=local格式
2. 管理员密码：替换默认的secret为强密码
3. 端口配置：
   • 389端口用于普通LDAP通信
   • 636端口用于SSL加密通信

配置完成后，建议立即修改slapd.conf中的默认域：

# 修改前 suffix "dc=maxcrc,dc=com" # 修改后 suffix "dc=yourcompany,dc=local"

3. 用LDAP Browser高效管理组织架构

3.1 可视化操作技巧

LDAP Browser的树形界面比命令行友好得多。几个高效操作技巧：

• 批量导入用户：准备CSV文件后用Import->LDIF功能
• 快速复制条目：右键用户选择"Copy DN"可快速创建相似账号
• 权限管理：通过ACL设置不同OU的管理权限

典型组织架构的LDIF示例：

dn: ou=Dev,dc=yourcompany,dc=local objectClass: organizationalUnit ou: Dev dn: cn=张伟,ou=Dev,dc=yourcompany,dc=local objectClass: inetOrgPerson cn: 张伟 sn: 张 userPassword: {SSHA}hashed_password mail: zhangwei@yourcompany.local

3.2 实战：批量导入200+用户

我们使用Python脚本将HR系统的Excel导出转为LDIF：

import csv with open('employees.csv') as f: reader = csv.DictReader(f) for row in reader: print(f"dn: cn={row['name']},ou={row['dept']},dc=yourcompany,dc=local") print("objectClass: inetOrgPerson") print(f"cn: {row['name']}") print(f"sn: {row['name'].split()[0]}") print(f"mail: {row['email']}\n")

导入前务必先用测试账号验证LDIF格式，错误格式可能导致整个导入失败

4. 实现GitLab单点登录实战

4.1 GitLab配置详解

在/etc/gitlab/gitlab.rb中添加关键配置：

gitlab_rails['ldap_enabled'] = true gitlab_rails['ldap_servers'] = { 'main' => { 'label' => 'Company LDAP', 'host' => 'ldap.yourcompany.local', 'port' => 389, 'uid' => 'cn', 'bind_dn' => 'cn=gitlab,ou=System,dc=yourcompany,dc=local', 'password' => 'your_password', 'base' => 'ou=People,dc=yourcompany,dc=local', 'active_directory' => false } }

配置完成后执行gitlab-ctl reconfigure使配置生效。测试阶段建议开启调试模式：

tail -f /var/log/gitlab/gitlab-rails/production.log

4.2 常见问题排查

我们遇到的三个典型问题及解决方案：

1. 连接超时：

   • 检查Windows防火墙是否放行389端口
   • 验证telnet ldap_server 389是否通

2. 密码策略冲突：

   • GitLab默认需要8位以上密码
   • 在LDAP中设置pwdMinLength属性

3. 组同步失败：

   • 确保GitLab中的组名与LDAP中OU名称完全匹配
   • 检查memberOf属性是否正确返回

5. 扩展应用到其他系统

同样的原理可以快速扩展到其他系统：

• Jenkins：安装LDAP插件后配置类似GitLab
• Confluence：在"用户目录"设置中添加LDAP源
• VPN接入：将LDAP作为RADIUS后端实现统一认证

一个有趣的发现：配置完成后，新员工入职只需在LDAP创建一个账号，所有系统立即可用，HR的账号开通工单减少了70%。这套方案运行半年后，我们甚至为外包人员创建了临时访问组，通过设置accountExpires属性实现自动过期。