前言

LDAP（輕量級目錄訪問協(xié)議）是一種用于訪問和管理分布式目錄服務(wù)的協(xié)議，它具有以下好處：

集中管理用戶身份認證和授權(quán)：LDAP提供了一種方法，使組織能夠集中管理用戶的身份認證和授權(quán)。通過將用戶信息存儲在一個中心化的目錄服務(wù)中，管理員可以更輕松地管理用戶賬戶、密碼策略和權(quán)限。

也就是說通過ldap 可以實現(xiàn)一個賬號、密碼可以登陸多個系統(tǒng)或者應(yīng)用程序，只要他們支持LDAP。

研究幾天后發(fā)現(xiàn)，使用群暉的LDAP還能夠控制用戶的登錄權(quán)限，例如，只讓用戶登錄DSM和Gitea，不能登錄jellyfin，而且實現(xiàn)非常簡單，這也是為什么選擇群暉的套件，而不使用OPENLDAP的原因，其他的也能實現(xiàn)，主要是群暉的安裝、使用來簡單

安裝LDAP Server

首先在群暉的套件中心找到LDAP Server，安裝并打開，然后只需設(shè)置FQDN和密碼即可。

FQDN可隨意設(shè)置，例如 abc.com

請記住 Base DN 和 BindDN、還有設(shè)置的密碼，后面需要這些參數(shù)。

新建群組

然后找到管理群組，新增兩個群組，gitea和jellyfin群組，后續(xù)需要使用。

新增用戶

點擊管理用戶，新增一個用戶，請自己根據(jù)實際情況填寫

加入群組，選擇gitea和jellyfin，這是控制這兩個登錄的權(quán)限，取消掉以后就不能使用該賬號登錄對應(yīng)的應(yīng)用。

其他參數(shù)根據(jù)實際情況填寫。

DSM加入LDAP

在控制面版找到域/LDAP

點擊加入按鈕，注意，IP為你群暉服務(wù)器的IP，DNS可以填路由器的地址，或者119或者114都可以。

BindDN、Base DN 、密碼，填上述LDAP Server 的設(shè)置參數(shù)。

加入成功后的狀態(tài)。

DSM使用LDAP登錄

在控制面版，找到域/LDAP，然后選擇LDAP用戶，點擊更新LDAP數(shù)據(jù)，可以看到多了一個test用戶。

點擊家目錄，啟動LDAP用戶家目錄服務(wù)

選中用戶，郵件編輯，剩下的權(quán)限設(shè)置就和DMS賬號一樣，根據(jù)實際情況自行設(shè)置。

然后使用該賬號登錄即可。

登錄成功！

Gitea配置

使用管理員賬號登錄Gitea，找到后臺管理，身份及認證---->認證源---->添加認證源

配置可參考gitea的設(shè)置

用戶過濾規(guī)則

(&(objectClass=posixAccount)(|(uid=%[1]s)(mail=%[1]s))(memberOf=cn=gitea,cn=groups,dc=abc,dc=com))

請注意，其中cn=gitea的giea為ldap 服務(wù)器設(shè)置的群組名稱。后面的，dc=xxx，dc=xxx為BaseDN，這兩個一定要根據(jù)實際情況進行修改，這也是設(shè)置登錄權(quán)限的關(guān)鍵。

后面的參數(shù)照填即可。

登錄

第一次登錄會提示用戶名或密碼不正確，不要慌，再點擊一次登錄即可。估計是第一次沒同步。

第二次登錄成功

可以看到用戶認證源為ldap

!

取消其登錄權(quán)限

找到LDAP Server ，選擇用戶，右鍵編輯，用戶群組，將gitea取消掉，然后再次測試，發(fā)現(xiàn)會一直提示用戶名或密碼不正確。

!

Jellyfin配置

首先在插件中心安裝LDAP-Auth這個插件

LDAP Search Filter，這個和gitea不一樣，但是也很類似，

其中cn=jellyfin的jellyfin為ldap 服務(wù)器設(shè)置的群組名稱。后面的，dc=xxx，dc=xxx為BaseDN，這兩個一定要根據(jù)實際情況進行修改，這也是設(shè)置登錄權(quán)限的關(guān)鍵。

(&(memberOf=cn=jellyfin,cn=groups,dc=abc,dc=com)(objectClass=inetOrgPerson))

登錄

輸入賬號密碼，一次性登陸成功。

可以看見賬號認證為LDAP

取消其登錄權(quán)限見gitea取消其登錄權(quán)限。

總結(jié)

目前使用一段時間基本沒有啥問題。但是有已下幾個缺陷：
1.無法在gitea和jellyfin更改密碼，但是可以登錄dsm自助修改密碼。
2.其中的封禁登錄功能對gitea和jellyfin無效，封禁之后仍可繼續(xù)登錄，但是對dsm有效。

3.只有在LDAP添加的用戶才能實現(xiàn)以上功能。
4.LDAP認證服務(wù)器一旦掛掉，所有的應(yīng)用也就無法登錄。
5.LDAP服務(wù)器里的用戶刪掉后，其它平臺的用戶依舊存在，需要手動刪除用戶以及配置。
6.LDAP認證服務(wù)器一旦掛掉，所有的應(yīng)用也就無法登錄。
7.LDAP服務(wù)器里的用戶刪掉后，其它平臺的用戶依舊存在，需要手動刪除用戶以及配置。

本來也就是家用，所以以上問題看起來也不是什么問題，剩下的只能繼續(xù)慢慢研究。

大家有沒有其他支持LDAP認證的平臺軟件推薦。文章來源地址http://www.zghlxwxcb.cn/news/detail-811211.html

到了這里，關(guān)于群暉搭建LDAP服務(wù)器實現(xiàn)一個賬號登錄DSM、Gitea、jellyfin的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！